• 加壳时处理IAT
  • 标 题:加壳技术探讨-加壳时处理IAT
  • 作 者:kongfoo
  • 时 间:2004年4月03日 04:00
  • 链 接:http://bbs.pediy.com

加壳时处理IAT
kongfoo/2004.4.3
  避免壳运行时处理IAT能被跳过的弊端。达到原程序没有一刻是完好的的目的。
加壳时处理IAT要的是找到文件中IAT所在位置和大小。
  VC和DELPHI程序不同。
  一、VC notepad.exe分析
  PE header(eifanew)在e8处。
  IAT RVA在eifanew+d8处,1000
  IAT Size在eifanew+dc处,324,这2个值是系统参考值,系统在装入文件时就会参考这2个值。
  物理位置上的IAT放在第一个节。即400处。
  PE头接着就是第一个节,所以取SizeOfHeader值就可以定位到第一个节。
  SizeOfHeader在eifanew+54处,400。
  现在有了IAT的物理位置和大小。
  二、DELPHI project1.exe分析
  eifanew+d8和eifanew+dc处都为0。
  IAT RVA在eifanew+80处,54000,即目录表的IMPORT_DIR.VirtualAddress
  IAT Size在eifanew+84处,1f4,即目录表的IMPORT_DIR.Size
  这2个值也是系统参考值,系统在装入文件时参考这2个值,把IAT放进去。

  跳转表在第一个节开始。

  三、系统装入IAT工作流程猜测
  先在eifanew+d8和eifanew+dc取IAT RVA和IAT Size,值非空即将第一个节IAT Size
个字节装入IAT RVA指向的地址。
  若取得的IAT RVA和IAT Size为0即取eifanew+80和eifanew+84的IMPORT_DIR.VirtualAddress
和IMPORT_DIR.Size值,将这2个值作为IAT RVA和IAT Size参考值。再去BaseOfData
取各API的字串和DLL字串,根据字串取API地址,再把地址放到IAT RVA中。

  四、加壳时加密IAT
  要在加壳时加密IAT,对VC的程序很简单。对DELPHI复杂很多。一:取IMPORT_DIR值,
再用取各API地址,把地址写回第一个节,再把IAT RVA和IAT Size的值改成IMPORT_DIR的值。
这样就完成了DELPHI程序IAT向VC程序的转变。再用对VC程序IAT加密的方法对其进行加密。
但有一难点,原来的第一个节没办法处理。所以加壳时加密IAT只能针对个别程序。

  五、其它
  DELPHI这种对API地址处理的方式也有其好处,跨平台。