突破Windows加解密禁区

Author: 黄云燕 Date: 1997-01-01

　　Ｗｉｎｄｏｗｓ环境下的可执行文件称为“ＮＥ”格式的文件，即我们通常说的ｆｏｒ　Ｗｉｎｄｏｗｓ程序，它的结构比ＤＯＳ系统下的可执行文件要复杂得多，而且其加载和重定位方式也和ＤＯＳ系统下的“ＭＺ”文件有很大的区别。总体上它可由ＭＳ－ＤＯＳ首部，ＤＯＳ插入程序段，Ｗｉｎｄｏｗｓ执行文件首部和具体的数据段、代码段、资源等组成。从距文件起始位置偏移量０１３ＣＨ处的两个字节中可以得到这个Ｗｉｎｄｏｗｓ执行文件首部距离文件起始位置的偏移量。Ｗｉｎｄｏｗｓ执行文件首部由信息块、段表、资源表、驻留名表、模块引用表、输入名表、入口表和非驻留名表组成。其中信息块中包含了各表的具体位置及加载过程中的重要参数。如入口的ＣＳ：ＩＰ，ＳＳ：ＳＰ及快装区的位置和大小等。
　　大家都知道，如果要想对程序进行加密或解密，首先要弄清楚程序的入口在哪儿，然后再修改入口处的指令以达到加密或解密的目的，现在我就具体向大家介绍一种很简单而实用的方法，可对Ｗｉｎｄｏｗｓ下的可执行文件直接进行修改。假设我们要修改的文件为ＳＯＬ．ＥＸＥ，具体步骤如下：
　　１．ＲＥＮ　ＳＯＬ．ＥＸＥ　ＳＯＬ，然后ＤＥＢＵＧ　ＳＯＬ
　　２．Ｄ　１３Ｃ可得［０１３Ｃ］＝０４００，这说明Ｗｉｎｄｏｗｓ首部距离文件起始地址偏移４００Ｈ，加上ＰＳＰ的长度得Ｗｉｎｄｏｗｓ首部地址为５００Ｈ。
　　３．Ｄ　５００可以看到“ＮＥ”的标记，我们就找到Ｗｉｎｄｏｗｓ首部了。
　　４．Ｄ　５１４　Ｌ　４显示８３　００　０８　００，即入口的ＣＳ：ＩＰ＝０００８：００８３。
　　５．Ｄ　５２２可得［０５２２Ｈ］＝００４０，这表示段表距离Ｗｉｎｄｏｗｓ首部的偏移量为００４０Ｈ，即第一个段表的地址为５４０Ｈ。因为每个段表占８个字节，而由第四步可知ＣＳ＝０００８所以入口段的段表地址为０５７８Ｈ。
　　６．Ｄ　５７８　Ｌ　２显示Ｂ４　０１，这表示入口段距离文件起始位置的偏移量为０１Ｂ４个扇区。
　　７．Ｄ　５３２得［５３２Ｈ］＝０００４，这表示扇区的大小为２＊＊４＝１０Ｈ。而由第四步可知ＩＰ＝００８３Ｈ。现在我们就可以算出程序入口处距离文件起始位置的偏移量为：０１Ｂ４Ｈ＊１０Ｈ＋００８３Ｈ＝１ＢＣ３Ｈ再加上ＰＳＰ空间１００Ｈ，所以入口处的地址为１ＢＣ３Ｈ＋１００Ｈ＝１ＣＣ３Ｈ。
　　８．Ｕ　１ＣＣ３可以看到入口处代码的庐山真面目
　　ＸＯＲ　ＢＰ，ＢＰ
　　ＰＵＳＨ　Ｂ　Ｐ
　　ＣＡＬＬ　００００：ＦＦＦＦ
　　最后的工作就是修改入口处的指令，然后用Ｗ命令存盘。掌握了以上的文件修改方法后，我们就可以对任意的Ｗｉｎｄｏｗｓ可执行文件进行加解密工作了。比如，按照我以上向大家介绍的方法来分析用ＢＩＴＬＯＫ　２．０　ｆｏｒ　Ｗｉｎｄｏｗｓ加密过的软件，只消一分钟的时间就可以找到其入口的指令为ＣＡＬＬ　２８６４；ＪＭＰ　１Ｃ８３；我们只要将这条ＣＡＬＬ　２８６４指令改为三条ＮＯＰ指令即可完成解密工作。很容易吧！你也不妨一试。　　　　