处理外壳PROC

;处理外壳程序    
DisposeShell    PROC 

;局部变量
LOCAL ShellBufferMap        :DWORD        ;VirtualAlloc 返回值
LOCAL ShellBufferMapUsed    :DWORD        ;shell代码的长度
LOCAL MEM                    :DWORD        ;为压缩花指令+shell代码申请的内存
LOCAL MEMSize                :DWORD        ;大小
LOCAL ShellSize                :DWORD        ;shell的大小
LOCAL ShellSize_NoPack        :DWORD        ;未压缩时，ShellEnd到ShellStart的大小 
LOCAL FunkCodeSize            :DWORD        ;垃圾代码的大小

;因为这是子程序，保存寄存器值
pushad
;*******申请内存*******
invoke  VirtualAlloc, NULL, 20000h, MEM_COMMIT, PAGE_READWRITE    
mov ShellBufferMap,eax    ;ShellBufferMap====VirtualAlloc 返回值
;*******在申请的内存产生花指令*******
invoke  MakeFunkCode,ShellBufferMap 
;FunkCodeSize==MakeFunkCode返回值，垃圾代码的大小
mov FunkCodeSize,eax    
;*******读入外壳*******
;ShellEnd，ShellStart，shell.asm中的标号
mov ecx,ShellEnd-ShellStart 
;未压缩时，ShellEnd到ShellStart的大小 
mov ShellSize_NoPack,ecx    
;复制ShellStart到ShellEnd的代码到缓冲区
lea esi,ShellStart
mov edi,ShellBufferMap
add edi,FunkCodeSize
rep movsb                ;复制ShellEnd，ShellStart之间的代码，到ShellBufferMap
;*******保存OEP
mov ebx,ShellBufferMap    
add ebx,FunkCodeSize    ;ebx=花指令结束的地址
add ebx,OEP-ShellStart    ;ebx==oep变量地址-ShellStart标号地址
mov edx,PeHeadBase        ;edx==NT头
assume  edx : ptr IMAGE_NT_HEADERS
mov eax,dword ptr [edx].OptionalHeader.AddressOfEntryPoint    ;OEP给eax
mov dword ptr [ebx],eax    ;oep给[ebx]指向的地方，即shell里OEP变量的值
;*******保存是否处理输入表的标记
mov ebx,ShellBufferMap    ;S_IsProtImpTable，IsProtImpTable标记
add ebx,FunkCodeSize
add ebx,S_IsProtImpTable-ShellStart 
mov eax,IsProtImpTable    
mov dword ptr [ebx],eax    
;*******保存输入表地址    
;输入表未加密，保存输入表地址到ImpTableAddr
.if IsProtImpTable == 0    
mov eax,dword ptr [edx].OptionalHeader.DataDirectory[SIZEOF IMAGE_DATA_DIRECTORY].VirtualAddress
mov ebx,ShellBufferMap
add ebx,FunkCodeSize
add ebx,ImpTableAddr-ShellStart
mov dword ptr [ebx],eax
;在加壳时，输入表已加密
;shellstart到end的大小给ImpTableAddr，复制加密过的输入表信息到shell代码的后面
.else
mov eax,ShellSize_NoPack 
mov ebx,ShellBufferMap        
add ebx,FunkCodeSize
add ebx,ImpTableAddr-ShellStart 
mov dword ptr [ebx],eax 
mov edi,ShellBufferMap    ;edi== 
add edi,FunkCodeSize
add edi,ShellSize_NoPack;把MapOfImpProt复制到ShellBufferMap
mov esi,MapOfImpProt    ;edi=map+funkcodesize+shellsize
mov ecx,MapOfImpProtUsed
add ShellSize_NoPack,ecx
rep movsb
.endif
;*******保存特殊代码加密信息
.if IsCodeProt == 1
mov ebx,ShellBufferMap
add ebx,FunkCodeSize
add ebx,S_IsCodeProt-ShellStart
mov dword ptr [ebx],1
mov eax,ShellSize_NoPack
mov ebx,ShellBufferMap
add ebx,FunkCodeSize
add ebx,CodeProtAddr-ShellStart
mov dword ptr [ebx],eax
mov edi,ShellBufferMap
add edi,FunkCodeSize
add edi,ShellSize_NoPack
mov esi,MapOfCodeProt
mov ecx,MapOfCodeProtUsed
add ShellSize_NoPack,ecx
rep movsb
.endif
;*******保存压缩块表信息
mov ecx,0a0h
lea esi,PackSection    ;全局变量，保存还原区块的信息
mov edi,ShellBufferMap
add edi,FunkCodeSize
add edi,S_PackSection-ShellStart
rep movsb        ;PackSection还原信息追加写入ShellBufferMap
;*******
mov eax,FunkCodeSize
add ShellSize_NoPack,eax;ShellSize_NoPack==花指令长度+shell代码长度
;*******压缩花指令+shell代码
mov eax,ShellSize_NoPack    
mov edx, 9
mul edx
shr eax,3
add eax,16
mov MEMSize,eax         ;计算需要占用的内存空间
invoke  VirtualAlloc, NULL, eax, MEM_COMMIT, PAGE_READWRITE
mov MEM, eax
    invoke  aP_pack,ShellBufferMap,MEM,ShellSize_NoPack,lpPackBuffer,0
    mov ShellBufferMapUsed,eax
    ;*******读取外壳引导段**********
    ;复制shell0到MapOfShell(上层函数申请的buffer)
    mov ecx,ShellEnd0-ShellStart0
    mov ShellSize,ecx
    mov edi,MapOfShell
    lea esi,ShellStart0
    rep movsb            
    .if IsPackRes == 1    ;如果压缩资源被选中，把压缩的资源放到shell0后面
        mov ecx,MapOfPackResUsed
        add ShellSize,ecx
        mov esi,MapOfPackRes
        rep movsb
    .endif
    ;*******写入压缩后的外壳    ;MapOfShell在加上压缩后的shell
    ;追加加密后的shell到MapOfShell
    mov ecx,ShellBufferMapUsed
    add ShellSize,ecx
    mov esi,MEM
    rep movsb
    ;*******修正外壳输入表        
    ;eax=PeImageSize+ImportTable-ShellStart0，然后和相对于ImportTable的偏移相加
    ;加壳后shell0代码至少应放在PeImageSize后面，因为PeImageSize即PE文件占用内存的大小，在这个后面写不会影响到原程序的运行
    ;此作者直接把shell0放在PeImageSize后面，那么，PeImageSize也是shell0的在内存中的RVA，好机智！！
    mov eax,PeImageSize            
    add eax,ImportTable-ShellStart0 ;得到外壳输入表偏移，不懂！！现在懂了吧，哈哈
    mov ebx,MapOfShell                ;修改外壳输入表头    ;MapOfShell地址
    add ebx,ImportTable-ShellStart0    ;ebx定位到originalFirstThunk，
    add dword ptr [ebx],eax            ;[ebx]即shell里的shell0里的ImportTable
    mov ebx,MapOfShell
    add ebx,AppImpRVA1-ShellStart0
    add dword ptr [ebx],eax
    mov ebx,MapOfShell
    add ebx,AppImpRVA2-ShellStart0
    add dword ptr [ebx],eax
    mov ebx,MapOfShell          ;修改外壳输入地址表
    add ebx,AddressFirst-ShellStart0
    add dword ptr [ebx],eax
    mov ebx,MapOfShell
    add ebx,AddressSecond-ShellStart0
    add dword ptr [ebx],eax
    mov ebx,MapOfShell
    add ebx,AddressThird-ShellStart0
    add dword ptr [ebx],eax
    ;*******保存外壳压缩资料,以备解压******
    mov ebx,MapOfShell
    add ebx,ShellBase-ShellStart0
    mov eax,ShellEnd0-ShellStart0
    .if IsPackRes == 1
        add eax,MapOfPackResUsed
    .endif
    mov dword ptr [ebx],eax
    mov ebx,MapOfShell
    add ebx,ShellPackSize-ShellStart0
    mov eax,ShellSize_NoPack
    mov dword ptr [ebx],eax
    ;*******在文件头增加一个区段资料
    mov edi,PeHeadBase
    assume  edi : ptr IMAGE_NT_HEADERS        ;edi=NT头
    mov eax,SecTableBase                    ;eax=节表头
    movzx   ecx,word ptr [edi].FileHeader.NumberOfSections ;ecx=区块数
    ModifySectionCharact:                    ;从第一个区块开始修改区块属性
    or  dword ptr [eax+24h],0c0000000h        ;为0c0000000h
    add eax,28h
    loop    ModifySectionCharact
    mov esi,eax                                ;新加区块起点
    push    edi
    mov edi,esi
    xor eax,eax
    mov ecx,28h
    rep stosb                                ;28h清零
    pop edi
    mov dword ptr [esi],'gcc.'                ;新区块名称
    invoke  GetIntegral,ShellSize,SectionAlignment    ;壳区块的大小
    mov dword ptr [esi+08h],eax                        ;映象大小
    mov eax,PeImageSize
    mov dword ptr [esi+0ch],eax                        ;映象偏移
    invoke  GetIntegral,ShellSize,FileAlignment        ;文件大小
    mov dword ptr [esi+10h],eax                        ;文件大小
    mov eax,dword ptr [esi-14h]
    add eax,dword ptr [esi-18h]
    invoke  GetIntegral,eax,FileAlignment
    mov dword ptr [esi+14h],eax     ;文件偏移
    mov dword ptr [esi+24h],0c0000040h
    inc word ptr [edi].FileHeader.NumberOfSections  ;区块数加一
    ;*******修改文件头的一些资料
    ;修改EntryPoint程序入口点 
    mov eax,PeImageSize
    mov dword ptr [edi].OptionalHeader.AddressOfEntryPoint,eax  
    invoke  GetIntegral,ShellSize,SectionAlignment
    add eax,PeImageSize
    mov dword ptr [edi].OptionalHeader.SizeOfImage,eax    ;修改映象大小
    mov eax,PeImageSize
    add eax,ImportTable-ShellStart0         ;修改输入表为自建输入表
    mov dword ptr [edi].OptionalHeader.DataDirectory[SIZEOF IMAGE_DATA_DIRECTORY].VirtualAddress,eax
    mov dword ptr [edi].OptionalHeader.DataDirectory[5*SIZEOF IMAGE_DATA_DIRECTORY].VirtualAddress,0h
    mov dword ptr [edi].OptionalHeader.DataDirectory[5*SIZEOF IMAGE_DATA_DIRECTORY].isize,0h
    mov dword ptr [edi].OptionalHeader.DataDirectory[11*SIZEOF IMAGE_DATA_DIRECTORY].VirtualAddress,0h
    mov dword ptr [edi].OptionalHeader.DataDirectory[11*SIZEOF IMAGE_DATA_DIRECTORY].isize,0h
    mov dword ptr [edi].OptionalHeader.DataDirectory[12*SIZEOF IMAGE_DATA_DIRECTORY].VirtualAddress,0h
    mov dword ptr [edi].OptionalHeader.DataDirectory[12*SIZEOF IMAGE_DATA_DIRECTORY].isize,0h
    mov esi,dword ptr [edi].OptionalHeader.DataDirectory[9*SIZEOF IMAGE_DATA_DIRECTORY].VirtualAddress
    .if esi != 0
        add esi,MapOfFile
        mov eax,PeImageSize
        add eax,TlsTable-ShellStart0
        mov dword ptr [edi].OptionalHeader.DataDirectory[9*SIZEOF IMAGE_DATA_DIRECTORY].VirtualAddress,eax
        mov edi,MapOfShell
        add edi,TlsTable-ShellStart0
        mov ecx,18h
        rep movsb
    .endif
    invoke  VirtualFree, ShellBufferMap, 0, MEM_RELEASE
    popad
    invoke  GetIntegral,ShellSize,FileAlignment
    ret
DisposeShell    endp