对近在眼前写的工具猜想后,我进行了实验。
方法和原理是可行的,但是最后的运行方式,让我很纠结。一直想不写出文件就能运行。用内存运行的方法是可行的,但是这样windows就无法识别程序,需要系统cmd套壳运行。
其实这种方法也ok,不过程序运行时总是有dos命令窗口闪现,很是烦人。因为用的模块命令,所以也没有办法限制dos窗口隐藏……
还有一个不好的地方,就是如果原文件加了壳,这个壳如果压缩或者加密了内存,那么很大程度上就会运行失败。
所以这个想法,直接让我放弃了。
问题是人家写的就不会出现这种问题,理论上应该还是写出的。后来翻遍全网,看到一种捆绑写法,也是有文件头的,而且有文件头的源码。
我研究了一下,发现他是用线程控制,但是换汤不换药,还是要写出……洪雨觉得,可能所有捆绑机要么写出运行,要么套cmd壳运行,用命令隐藏dos窗口,这两种方法。
头文件写法有两种,一种是有窗口,在窗口下运行指令,一种是直接运行程序。如果没有窗口,那么就要dos窗口闪现。
最后洪雨决定不倒腾了,直接窗口下运行,隐藏窗口就是了。
看别人的源码还是有收获的,学会了一种写法。以前我是,写出文件人后运行,就不管了。可问题来了,如果多个压缩文件同时运行,就会出现冲突。所以运行完再删除比较保险。想着随机文件名,然后删除,这样又比较容易被发现。
看了别人的源码,学会了一种写法,申请一个临时文件,然后将软件写入,删除的时候,再删除这个临时文件即可。
好了,总结一下流程。首先写一个头文件,这个头文件写法是,创建一个窗口,设置为隐藏属性,在启动窗口创建完毕下写命令,命令就是根据文件大小剥离文件,然后该解密解密,该压缩压缩。最后申请临时文件,将解密压缩后的写到这个临时文件中,然后运行。重点来了,运行参数是否等待运行完毕为真,然后删除临时文件,结束。
生成工具很简单,将原文件加密压缩,然后告诉头文件原文件处理后的大小,最后对接到头文件上即可。
最终重点,易语言生成的文件都很大,如果互相对接,可能比原文件还大,有什么脸说是压缩壳?
所以,研究易语言瘦身也花费了一番功夫,从斩月到现在的黑月,从白月到凌月……一个都没弄明白……所幸头文件命令少,不需要支持库,直接编译出来即可,不到10k,加个图标,十几k,还是能接受的。
无意中发现杀毒很爱杀支持库,没有支持库的头文件就不会被杀,怪不得c生成的工具误报很少。
到此,洪雨这个业余易语言爱好者加密压缩壳算是完成了。经过处理的文件也不会报毒。因为根本没什么可报的,头文件不报就不会报。运行的时候报不报另当别论,反正能过主动防御。
发表评论: