==Ph4nt0m Security Team==
 
                       Issue 0x02, Phile #0x0A of 0x0A
 

|=---------------------------------------------------------------------------=|
|=----------------------=[  pe/elf 文件加壳时的处理  ]=----------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=--------------------------=[      By dummy     ]=--------------------------=|
|=-----------------------=[  <dummy_at_ph4nt0m.org>  ]=----------------------=|
|=---------------------------------------------------------------------------=|
	
                
前言:

    最初的壳是在感染型的病毒技术上发展出来的,加壳目的一般是压缩或加密。本文主要
就x86平台下win32 pe和linux elf 加壳程序的实现做简单介绍和总结,以自己以前写相关
程序做线索叙述,其中程序源码是开源的,有兴趣的朋友可以继续进行改进。

    ps: 其中有些地方很久没碰,可能有地方描述有误,还请见谅:)

正文:

    -------------------------------------------------------
    slm        x86 win32 r3 pe packer
    mimisys    x86 win32 r0 pe packer
    elfp       x86 linux r3 elf packer
    -------------------------------------------------------

一、一个壳的组成

    一个完整的壳程序主要由 2 个部分组成 packer 和 loader。它们具体的作用分别是:

    (1) packer
        
    负责将待加壳程序压缩和加密处理、把loader写到待加壳程序上。以slm的pakcer
    为例具体操作包括,pe有效性判断、优化可压缩数据、压缩和加密、添加loader、存放
    加壳参数和待加壳程序原数据(oep等等)、改写入口点等等。

    (2) loader
        
    主要工作是解压或解密被加壳的程序,以slm的loader为例具体的操作包括:获取自
    身位置、获取加壳参数、进行解压或解密、填充导入表、重定位、tls 初始化等等。

二、slm (x86 win32 r3 pe packer)

资料:
    http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx

工具:
    lordpe    pe 文件格式查看编辑工具
    dumpbin    vc 自带coff文件格式查看工具
    ollydbg    r3 调试工具

源码结构:
    ./slm/cm 公共头文件和模块
    ./slm/pk    packer 实现
    ./slm/sc    loader 实现

    在做这个时候对 pe 也是刚刚了解,所以 slm 很多地方现在看来有些问题:)。在第一
节已经简单描述 slm 的工作流程,下面主要就我当初做的时候遇到的问题做一些描述:

    (1) 资源的处理
        
    slm 的资源处理做的比较烦琐,当初目的是为了把可压缩资源数据归并到一起,进
    行一次压缩,不可压缩单独存放。下面简单介绍一下资源的目录数据格式,详细还是看
    看微软的文档和相关源码:)
        
        从IMAGE_NT_HEADERS.IMAGE_DATA_DIRECTORY[IMAGE_DIRECTORY_ENTRY_RESOURCE]
    取出资源数据的地址res_rva,经过转换后第一个结构体是IMAGE_RESOURCE_DIRECTORY

        IMAGE_RESOURCE_DIRECTORY:

            NumberOfIdEntries       目录下 id 名称入口项个数
            NumberOfNamedEntries    目录下 name 名称入口项个数

        紧跟着IMAGE_RESOURCE_DIRECTORY后面是IMAGE_RESOURCE_DIRECTORY_ENTRY结构
    数组,这个数组的元素个数是 NumberOfIdEntries + NumberOfNamedEntries。

        IMAGE_RESOURCE_DIRECTORY_ENTRY:

            Id                  目录id,只有NameIsString非真才有效
            NameIsString        目录名称是否是字符串,如果为真NameOffset有效
            NameOffset          目录名称串的偏移, 偏移是相对与res_rva*的。
            DataIsDirectory     如果为真 OffsetToData 有效,否则OffsetToDirectory
                                有效
            OffsetToData        指向资源数据,偏移类型rva
            OffsetToDirectory   指向子目录,偏移类型rva

        如果目录入口名称是字符串,通过NameOffset获取PIMAGE_RESOURCE_DIR_STRING_U
    的结构指针,目录名是unicode格式,并且不是以零结尾的字符串。如果目录名不是字符
    串而是id, 那么其值在winnt.h 定义。常见id有RT_ICON、RT_VERSION等等。

        结构大致简单描述完了,有点要注意OffsetToDirectory、OffsetToData修改时要
    进行 DWORD 对齐,否则会出现奇怪的现象。

    (2) 导入表处理

        从IMAGE_NT_HEADERS.IMAGE_DATA_DIRECTORY[IMAGE_DIRECTORY_ENTRY_IMPORT]
    取出导入表的地址imp_rva,经过转换后第一个结构体是IMAGE_IMPORT_DESCRIPTOR。
        
    IMAGE_IMPORT_DESCRIPTOR:

            Name               指向导入 dll 的名称,偏移类型 rva
            FirstThunk         指向 IMAGE_THUNK_DATA 结构体,偏移类型 rva
            OriginalFirstThunk 指向FirstThunk 的副本, 可以为空。偏移类型 rva
        
        导入由IMAGE_IMPORT_DESCRIPTOR结构数组组成,数组长度由一个Name域为空的结
    构表明。
        
        FirstThunk和OriginalFirstThunk都是指向以IMAGE_THUNK_DATA数组组成的数据
    结构,系统的加载器在进行导入表填充时,会把FirstThunk指向的结构修改掉。

    (3) TLS 处理

        这里说的tls是所谓的静态tls(在pe文件结构上进行实现),关于什么是tls可以看看
    《windows 核心编程》线程那章。
        
        1、tls 是怎样的

        比如要在vc中声明一个tls变量需要这样__declspec(thread) int x = 0;在链接
    时这个变量会被链接器放入.tls的节中。这个节从外边看和其他的节没有什么不同,唯
    一的区别在IMAGE_DATA_DIRECTORY[IMAGE_DIRECTORY_ENTRY_TLS]指向的一个结构会对
    此节进行描述,这个结构是IMAGE_TLS_DIRECTORY。 

        IMAGE_TLS_DIRECTORY:

            StartAddressOfRawData   tls数据开始地址类型va
            EndAddressOfRawData     tls数据结束地址类型va
            AddressOfIndex;         tls slot的地址,默认tls slot为0

            AddressOfCallBacks      指向一个PIMAGE_TLS_CALLBACK的数组,这个数组
                                    以0结尾,每个PIMAGE_TLS_CALLBACK都是va类型
            
            SizeOfZeroFill          数据区需要进行清 0 数据的大小
            Characteristics
        
        2、系统加载器怎样处理exe的tls

            系统加载器在完成重定位和输入表填充后,就开始处理tls。如果存在tls_dir,
    求出tls数据的大小EndAddressOfRawData - StartAddressOfRawData + 
    SizeOfZeroFill, 按照大小分配一块内存,地址存入(PDWORD)fs:[0x2c] + 
    tls_slot, 接着拷贝StartAddressOfRawData -> EndAddressOfRawData之间的数
    据到新分配的内存中,然后使用SizeOfZeroFill 清零剩下的数据,然后进行循环回
    调AddressOfCallBacks中的函数,PIMAGE_TLS_CALLBACK函数和DllMain原型很像,
    只是没有返回值。

        3、系统加载器怎样处理dll的tls

            首先明确dll是可以使用tls的,唯一的不同是AddressOfCallBacks调用方式会
    有些区别。如果目标dll是被静听链接到其他文件上,在进程创建完成时即被加载,
    那么他的tls callback会触发,而LoadLibrary方式加载不会触发。

    (4) rva & raw 转换

        pe 文件中许多结构域的指针类型是rva, rva是pe文件由系统加载后,方法相关数
    据的相对偏移量。而我们进行加壳处理时,是直接map的文件数据访问都是使用文件指
    针,这就需要rva进行转换。(每次做pe相关工具时,我都会习惯写一个这样的函数,现在
    不下10中版本,竟然没有一个可以保证是正确的 - -)

        下面这个是最新的rva2raw版本,不保证正确性。

三、mimisys (x86 win32 r0 pe packer)

资料:
    Windows Research Kernel
        wrk/base/ntos/mm/sysload.c:MmLoadSystemImage
工具:
    syser     内核调试器,你也可以选择其他的r0调试器
    vmware    如果不想频繁重启,需要一个虚拟机

    文件格式的一些处理参考slm, 这里主要就r0 pe和r3 pe区别做介绍:

    (1) 节和页

        r0空间的内存常常很紧张,就导致sys section属性有几个特殊地方

        1、可换出和禁止换出
            
        在内存不足时,系统内存管理器,会枚举已加载的section object, 如果存在
    pageout属性,那么系统内存管理器就会换出这个节对应的页(这个节经过系统页对
    齐后换出内存)节对齐原则VirtualAddress向上、VirtualSize向下。禁止换出如
    名字所名这个节将永驻内存。

        2、节对齐小于一页
            
        大多数sys的节对齐指数都是小于一页,系统加载器在处理这类文件时相当很
    简单。加载后文件和磁盘上的文件布局基本一致。当节对齐小于一页时,
    SizeOfRawData必须大于等于VirtualSize,即不支持未初始化节。mimisys通过增
    加SizeOfImage在文件加载后分配一个未初始化的缓冲区,保证解压过程。

    (2) checksum校验

        一句话: 只有正确的checksum sys文件才允许被加载。

    (3) win2k相关问题

        win2k的系统加载器和其他nt系统有几处不同,r3和r0都会有一些区别,比如r3 pe
    的必须要有导入表,否则拒绝加载,r0 pe必须要有重定位信息,否则也会拒绝加载。这
    种情况需要构造一个空的重定位目录即可。

        mimisys采取的是合并节,导致加壳后只剩下两个节,第一个节是loader, 存放
    loader和各种加壳参数,第二个节是原程序优化压缩后的数据(移动重定位,移动资源等
    等)。两个节的属性都是不允许换出的。

四、elfp (x86 linux r3 elf packer)

资料:
    Tool Interface Standard (TIS) Executable and Linking Format
        http://www.x86.org/ftp/manuals/tools/elf.pdf
    毛德操 《漫谈内核兼容》8,9 ELF映像的装入
        http://linux.insigma.com.cn/jszl.asp?docid=132762762
        http://linux.insigma.com.cn/jszl.asp?docid=133617926
    linux 内核源码
        linux/fs/binfmt_elf.c:load_elf_binary

工具:
    objdump    进行elf文件格式的结构查看
               http://www.gnu.org/software/binutils/binutils.html
                
    ald        汇编级调试器,gdb无法调试没有调试信息文件的。
               http://ald.sourceforge.net/
    
    elfp是在magiclinux完成的linux elf文件压缩壳。

    elf的格式是linux下主要的可执行文件格式,它也是在coff上基础上设计的,所以它和
pe文件的格式很相似,下面的叙述过程中会和 pe 文件以对比形式进行描述。

    elf文件的第一个数据结构是以Elf32_Ehdr开始

    typedef struct
    {
      unsigned char e_ident[EI_NIDENT];     /* Magic number and other info */
      Elf32_Half    e_type;                 /* Object file type */
      Elf32_Half    e_machine;              /* Architecture */
      Elf32_Word    e_version;              /* Object file version */
      Elf32_Addr    e_entry;                /* Entry point virtual address */
      Elf32_Off     e_phoff;                /* Program header table file offset */
      Elf32_Off     e_shoff;                /* Section header table file offset */
      Elf32_Word    e_flags;                /* Processor-specific flags */
      Elf32_Half    e_ehsize;               /* ELF header size in bytes */
      Elf32_Half    e_phentsize;            /* Program header table entry size */
      Elf32_Half    e_phnum;                /* Program header table entry count */
      Elf32_Half    e_shentsize;            /* Section header table entry size */
      Elf32_Half    e_shnum;                /* Section header table entry count */
      Elf32_Half    e_shstrndx;             /* Section header string table index */
    } Elf32_Ehdr;

    e_ident        在 elf.h 中对应的 ELFMAG 宏,长度是四个字节
    e_entry        入口点映像偏移(映像偏移即 pe 中所说的 rva)
    e_phoff        Elf32_Phdr 数组的文件偏移
    e_shoff        Elf32_Shdr 数组的文件偏移
    e_ehsize       Elf32_Ehdr 结构的大小
    e_phentsize    Elf32_Phdr 结构大小
    e_phnum        Elf32_Phdr 数组成员个数
    e_shentsize    Elf32_Shdr 结构大小
    e_shnum        Elf32_Shdr 数组成员个数
    
    在Elf32_Ehdr之后即Elf32_Phdr数组,Elf32_Phdr的地址通过Elf32_Ehdr.e_ehsize来
确定。Elf32_Ehdr数组(或叫段表),你可以把phdr看做pe的节表。

    typedef struct
    {
      Elf32_Word    p_type;            /* Segment type */
      Elf32_Off     p_offset;        /* Segment file offset */
      Elf32_Addr    p_vaddr;        /* Segment virtual address */
      Elf32_Addr    p_paddr;        /* Segment physical address */
      Elf32_Word    p_filesz;        /* Segment size in file */
      Elf32_Word    p_memsz;        /* Segment size in memory */
      Elf32_Word    p_flags;        /* Segment flags */
      Elf32_Word    p_align;        /* Segment alignment */
    } Elf32_Phdr;
    
    p_type    描述这个段的加载行为属性
    p_offset  段数据在文件中偏移,类似pe节中的PointerToRawData
    p_vaddr   段数据加载后在映像中偏移, 类似pe节中的VirtualAddress
    p_filesz  段数据在文件中大小,类型pe节中的SizeOfRawData
    p_memsz   段数据加载后在映像中大小,类型pe节中的VirtualSize
    p_flags   描述这个段的内存属性,类似pe节中的节属性
    p_align   段对齐粒度

    p_type主要的类型有

        PT_LOAD      这个段需要装载到内存中
        PT_PHDR      这个段存放的是Elf32_Phdr数组
        PT_INTERP    这个段存放一个解释器名,请求系统加载器把映像装载需求转给这
	             个解释器,关于elf的解释器问题,可以理解为windows下ntdll装载
		     pe文件,elf文件的解释器主要负责重定位、导入表填充等操作

    p_flags 主要类型有

        PF_X         这个段可执行
        PF_W         这个段可写
        PF_R         这个段可读

    在Elf32_Ehdr(段表)之后便是Elf32_Shdr数组(节表),你可能到这里很奇怪了,怎么这
个叫节表?如果你熟悉pe应该知道节表对pe文件的重要性,但这个可不是pe中的那个节表,你
应该把它看做nt header中data_dir[]结构,加载器或调试器等工具会通过节名确定节具体
用途,比如存储调试信息、版本信息、字符串表等等、elfp在加壳过程会丢弃节表。

    下面简单讲讲elfp的loader处理过程(加壳过程很简单),在一个elf文件被加载后,它的
入口点在执行之前,堆栈中会由系统加载器push的一些参数。

    //  堆栈结构:
    //  +-------------------+
    //  |   return address  |        返回地址
    //  +-------------------+
    //  |   argc            |        参数个数
    //  +-------------------+
    //  |   argv[?], NULL   |        参数表,以 NULL 结尾
    //  +-------------------+
    //  |   envp[?], NULL   |        环境表,以 NULL 结尾
    //  +-------------------+
    //  |   auxv[?]         |        中文不知道叫什么它,这个主要是给解释器使用,
    //  +-------------------+        存放这个elf的相关信息如果被加壳程序需要解
                                     释器,你需要重写正确填写这个参数,让解释器可
				     以正确的找到相关数据的地址。
                                     
    elfp壳loader的执行流程大致如下:

        申请内存-->把每个段解压到指定的地址上-->获取被加壳程序原始信息-->检查原
    始段表、重写 auxv-->加载解释器-->调用解释器

    关于 elf 的解释器,可以参考资料链接上的文字,那里比我描述的完整。

五、附录

[1] 本文代码
    ./pstzine_0A_01.zip

-EOF-