版块导航: 正在加载中...

登录注册

应《网络安全法》要求，自2017年10月1日起，未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用，请尽快对帐号进行手机号验证，感谢您的理解与支持！

24小时热门版块排行榜

>论坛更新日志 (4004)
>导师招生 (471)
>考研 (442)
>文献求助 (164)
>虫友互识 (105)
>考博 (76)
>博后之家 (70)
>论文投稿 (64)
>基金申请 (57)
>教师之家 (48)
>硕博家园 (44)
>招聘信息布告栏 (38)
>公派出国 (26)
>第一性原理 (25)
>休闲灌水 (19)
>找工作 (16)

返回列表

当前主题已经存档。

sdlj8051

金虫 (著名写手)

应助: 0 (幼儿园)
贵宾: 0.1
金币: 1149.8
红花: 3
帖子: 2254
在线: 18.1小时
虫号: 71297
注册: 2005-05-30
专业: 电路与系统

[交流] 【转帖】驱动壳编写总结

驱动壳编写总结

Author: PolyMeta
Email: PolyMeta@whitecell.org
Homepage:http://www.whitecell.org
Date: 2006-05-27

壳作为一种主要的软件保护手段大概可以分为压缩壳和加密壳两类。而现在
流行的加壳程序无论是压缩的还是加密的几乎都是针对应用层程序的，对于驱动
程序的保护壳则几乎是空白。笔者只在一些国外加密狗的驱动中见过类似应用层
的保护壳。本篇文章主要介绍驱动加壳程序与应用层加壳程序在编写上的区别以
及一些注意事项。

1.校验和的计算

驱动程序被加壳后必须重新进行校验和的计算，否则加壳后的驱动加载会
失败

;*****************计算pe文件校验和*********************

CalcPECheckSum PROC lpBaseAddr

WORD,dwFileSize

WORD
LOCAL CheckSum

WORD
  pushad
  mov ecx,dwFileSize
      inc ecx
      shr ecx,1
      xor eax,eax
      clc
      mov esi,lpBaseAddr
cal_checksum:
      adc ax,word ptr [esi]
  inc esi
  inc esi
      loop cal_checksum
      mov ebx,dwFileSize
      add eax,ebx
      mov CheckSum,eax
      popad
      mov eax,CheckSum
  ret
CalcPECheckSum endp

;*******************************************************

2.原始IAT的处理

由于原驱动程序被加上了我们的外壳，所以原驱动程序的IAT表的填写工作
要由我们的外壳程序来完成。应用层壳一般通过GetModuleHandle和GetProcAdd
ress两个API来完成这个工作，或者自己实现这两个API的功能。而驱动壳是要
随驱动程序一起被加载到内核当中去的，但内核里没有这两个函数，需要我们
自己对这两个函数做内核的实现。当然也可以用MmGetSystemRoutineAddress函
数，不过它只能得到ntoskrnl.exe和hal.dll两个模块的函数，对于其它模块则
无能为力了，影响壳的通用性。

壳的GetModuleHandle函数可以通过遍历PsLoadedModuleList链表来实现，
关于遍历这个链表的方法可以参照Futo的代码，通过DRIVEROBJECT的DriverSec
tion成员来完成，而驱动对象可以从堆栈当中找到。

壳的GetProcAddress函数的实现就很简单了，内核模块本身也是PE文件，
直接遍历一下PE的导出表就ok了。

还有一点需要注意的就是UNICODE的转换，PE文件里面的字符串是以ASCII
方式存储的，而内核里的字符串多半是用UNICODE方式存放的，这点需要注意。

3.节表的处理

在给程序加壳的时候一般都要添加新节，用于存放壳的代码，应用层程序
的节表的最后一项和第一个节之间一般是有一个很大的空间可以用来添加新的
节表项的，但一般情况下驱动程序节表的最后一项后面紧接着就是第一个节，
根本没有足够的0x28大小的空间存放新的节表项。解决的方法有两种，第一种
将所有的节向后移动，而第二种方法则是将PE头整体向前移动覆盖掉部分无用
的dos头，留出足够的空间存放新的节表项。

另外一点需要注意的是，加壳后的驱动程序的每一个节表项必须满足如下
两个公式，才能被系统正常加载

1) VirtualAddress == PointerToRawData
2) SizeOfRawData >= VirtualSize

至于为什么，笔者也没搞清楚，这只是笔者通过分析驱动加载代码及实验
的结果，哪位仁兄知道还请赐教

4.重定位表的处理

由于驱动程序是要被加载到内核空间中，所以外壳必须实现原来由系统完
成的原驱动程序的重定位工作。原驱动程序的重定位表的处理方法跟应用层 D
LL 文件的处理方法完全一样,代码如下：

   mov  eax,dword ptr [ebp+OriginalRelocateAddr]
  add  eax,dword ptr [ebp+ModuleHandle]
  mov  ecx,dword ptr [ebp+OriginalRelocateSize]
  mov  ebx,eax
  mov  esi,dword ptr [ebp+ModuleHandle]
  sub  esi,dword ptr [ebp+OriginalBaseAddr] ;esi=diff

  NextRelocateBlock:
  .if ecx == 0
jmp FixAllRelocate
  .endif
  assume ebx : ptr IMAGE_BASE_RELOCATION
  push ecx
  mov  ecx,dword ptr [ebx].SizeOfBlock
  sub  ecx,sizeof IMAGE_BASE_RELOCATION
  shr  ecx,1
  mov  eax,ebx
  add  eax,sizeof IMAGE_BASE_RELOCATION
NextRelocateEntry:
xor edi,edi
mov di,word ptr [eax]
shr edi,12
.if edi == IMAGE_REL_BASED_HIGHLOW
   movzx edi,word ptr [eax]
   and edi,0fffh
   add edi,dword ptr [ebx].VirtualAddress
   add edi,dword ptr [ebp+ModuleHandle]
   add dword ptr [edi],esi
.endif
add eax,2
loop NextRelocateEntry
  pop  ecx
  sub  ecx,dword ptr [ebx].SizeOfBlock
  add  ebx,dword ptr [ebx].SizeOfBlock
  jmp NextRelocateBlock
  FixAllRelocate:

需要注意的一点：驱动程序被加壳后必须要有重定位表，否则驱动加载会失
败，解决的方法需要自己构造一个假的重定位表来替换原始的重定位表。

另外，由于驱动壳的特殊性，shell的编写和驱动程序的编写没什么区别，
稍有错误就会蓝屏。

写这篇文章的主要目的是对笔者在编写驱动加壳程序的过程中所遇到的一些
问题及其解决方法的总结，避免以后忘了，同时也给想写驱动壳的兄弟们一点我
的心得，少走一些弯路。

[ Last edited by 幻影无痕 on 2006-11-11 at 07:31 ]

回复此楼

» 猜你喜欢

材料与化工328分调剂已经有3人回复
279分求调剂一志愿211 已经有20人回复
293求调剂已经有3人回复
一志愿华东理工大学081700，初试分数271 已经有6人回复
085404电子信息284分求调剂已经有3人回复
306求0703调剂一志愿华中师范已经有9人回复
一志愿吉大化学322求调剂已经有6人回复
求调剂已经有5人回复
344求调剂已经有3人回复
一志愿哈工大，085400，320，求调剂已经有3人回复

1楼 2006-08-23 12:59:15

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主 sdlj8051 的主题更新

返回列表

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 279分求调剂一志愿211 +18	chaojifeixia 2026-03-19	20/1000	2026-03-24 10:34 by dolphin_ycj
[考研] 335分 \| 材料与化工专硕 \| GPA 4.07 \| 有科研经历 +4	cccchenso 2026-03-23	4/200	2026-03-23 23:00 by 徐ckkk
[考研] 材料/农业专业，07/08开头均可，过线就行 +3	呵唔哦豁 2026-03-23	4/200	2026-03-23 22:30 by 汪！？！
[考研] 327求调剂 +5	prayer13 2026-03-23	5/250	2026-03-23 22:11 by 星空星月
[考研] 070300化学求调剂 +8	苑豆豆 2026-03-20	8/400	2026-03-23 20:57 by baobaoye
[考研] 336化工调剂 +4	王大坦1 2026-03-23	5/250	2026-03-23 18:32 by allen-yin
[考研] 上海电力大学材料防护与新材料重点实验室招收调剂研究生（材料、化学、电化学，环境） +3	我爱学电池 2026-03-23	3/150	2026-03-23 17:16 by AZMK
[考研] 一志愿南京理工大学085701资源与环境302分求调剂 +5	葵梓卫队 2026-03-18	7/350	2026-03-23 16:26 by lingjue
[考研] 08工学调剂 +7	用户573181 2026-03-20	11/550	2026-03-23 15:47 by 我爱学习学习使�
[考研] 298求调剂 +8	上岸6666@ 2026-03-20	8/400	2026-03-23 11:02 by laoshidan
[考研] 一志愿中南化学（0703）总分337求调剂 +9	niko- 2026-03-19	10/500	2026-03-22 16:08 by ColorlessPI
[考研] 285求调剂 +6	ytter 2026-03-22	6/300	2026-03-22 12:09 by 星空星月
[考研] 286分人工智能专业请求调剂愿意跨考！ +4	lemonzzn 2026-03-17	8/400	2026-03-21 22:49 by lemonzzn
[考研] 广西大学材料导师推荐 +3	夏夏夏小正 2026-03-17	5/250	2026-03-21 22:20 by 金昊ML
[考研] 化学调剂 +5	yzysaa 2026-03-21	5/250	2026-03-21 22:12 by peike
[考研] 0703化学297求调剂 +3	Daisy☆ 2026-03-20	3/150	2026-03-21 17:45 by ColorlessPI
[考研] 南昌大学材料专硕311分求调剂 +6	77chaselx 2026-03-20	6/300	2026-03-21 07:24 by JourneyLucky
[考研] 初始318分求调剂（有工作经验） +3	1911236844 2026-03-17	3/150	2026-03-21 02:33 by JourneyLucky
[考研] 一志愿南京航空航天大学大学，080500材料科学与工程学硕 +5	@taotao 2026-03-20	5/250	2026-03-20 20:16 by JourneyLucky
[硕博家园] 湖北工业大学生命科学与健康学院-课题组招收2026级食品/生物方向硕士 +3	1喜春8 2026-03-17	5/250	2026-03-17 17:18 by ber川cool子