近日接到一個wince外包項目，要求我給他的軟件提供License控制，本來這個問題很容易解決，如果有源碼的話，只需要在進入主程序之前進行l(wèi)icense校驗就可以搞定了，然而要命的就是他沒有源代碼，要求我直接對其exe進行加密。
      
       這可是有點難度的，之前我也沒接觸過匯編，更沒有仔細(xì)去研究過PE文件格式，想起來還是覺得很有挑戰(zhàn)的，不過我這人就喜歡挑戰(zhàn)，沒有挑戰(zhàn)，怎么能促進自己學(xué)習(xí)呢？首先從原理上對這個實現(xiàn)進行一下分析：
       1）Wince上的可執(zhí)行exe文件，也是遵從PE文件格式的，這個以前我略有了解，加密解密不知道這個文件格式肯定是不行的。要實現(xiàn)對現(xiàn)有的EXE文件進行加密，先進行License校驗，再根據(jù)校驗結(jié)果判斷是否轉(zhuǎn)到主程序代碼，從匯編的角度來說，就是我自己要寫一段代碼來完成License校驗，然后判斷結(jié)果，使用條件跳轉(zhuǎn)指令來控制是否跳轉(zhuǎn)到原來的主程序入口點繼續(xù)執(zhí)行，而我自己寫的這段代碼也就是ShellCode了，病毒、黑客技術(shù)中這個詞出現(xiàn)的就多了。對于PE文件而言，就是要把我的ShellCode（包括根據(jù)結(jié)果判斷跳轉(zhuǎn)的部分）加到原來的EXE文件中，并且更改原EXE文件的入口點地址到我的shellcode處。
       2）我自己以前沒接觸過匯編，這下段時間內(nèi)全部用匯編完成License的校驗代碼，顯然是不那么容易的，我選擇了折中的辦法，準(zhǔn)備在我的ShellCode中去加載一個DLL，而License校驗就在DLL中實現(xiàn)。雖然這種方法很容易被破解，暫時也只能是采取這個權(quán)益之計了。
       3）ShellCode中要使用到一些API函數(shù)，因此必須找到一個辦法，在系統(tǒng)內(nèi)核的地址空間內(nèi)定位到這些API函數(shù)。

       根據(jù)上面的分析，就把主要的任務(wù)分成了三個部分，第二個部分對我來說是最簡單的了，隨時都可以完成，因此我把它放在最低優(yōu)先等級，我只寫了一個空殼dll可以用來加載作測試。那么接下來我們要做的就是1、3，pe文件格式的資料還是很多的，我想這個也不困難，而關(guān)于如何在系統(tǒng)地址空間內(nèi)定位API函數(shù)地址的資料，就不那么好找啦，Windows下面的可能還好點，WindowsCE下面的我還沒看到過。于是我決定從這里入手，如果這關(guān)過不去，我就不用再做別的事情了。

        經(jīng)過搜索，關(guān)于定位WinCEAPI函數(shù)地址的資料，幾乎都出自一篇Hacking Wince的文章，雖然還有《WinCEAPI機制初探》等中文文章，其實都是從Hacking Wince中間轉(zhuǎn)出來的。Hacking WinCE是篇英文的，大家可以在網(wǎng)上搜索了看看，文章寫的還是比較詳細(xì)的，根據(jù)文中的方法，先定位到KDataStruct結(jié)構(gòu)，然后再順藤摸瓜往下找，雖然很復(fù)雜，但確實可以定位到API函數(shù)地址，但是這時我犯了個錯誤，就是我在這篇文章中只看了一下它的實現(xiàn)原理，和它的C++語言的實現(xiàn)，沒有去讀它的匯編實現(xiàn)，因為我不懂啊~我也照著他的C++語言實現(xiàn)自己寫了一遍，調(diào)試了一下，基本上了解了是怎么一個過程，然后我就開始學(xué)習(xí)匯編了，而我犯的錯誤就是從這里開始，我到處找來的匯編資料，然后先了解匯編有哪些指令什么什么的~最后照葫蘆畫瓢，寫了一段匯編代碼實現(xiàn)上面的過程，到頭來要編譯了，才想起來，貌似我用的是8086的匯編，而在WinCE上似乎不是用這個，因為大部分的嵌入式設(shè)備采用ARM處理器，所以一般寫wince上的匯編代碼是用arm匯編的，這個時候我才發(fā)現(xiàn)我走錯了路，趕緊回頭找了arm匯編的資料，arm匯編的資料也不甚多，一個chm的文檔而已，看了一下，從寄存器開始都和8086的匯編不一樣了，然后仔細(xì)學(xué)習(xí)了一下。最后好歹還是讓我給寫出了arm匯編的代碼，在我的HP2790（windows Mobile 2003）上運行正常，這時候真的是興奮的不得了了。急忙聯(lián)系給我外包的老大，讓他試試看這段代碼在他設(shè)備上能否成功加載dll，結(jié)果卻是令人遺憾的不可以。

        為何不可以呢，我又回到Hacking Wince上去，我記得當(dāng)時看到這么一段，但是當(dāng)時沒有認(rèn)真去研究，KDataStruct的定位方法是不能在User Mode下使用的，因為要訪問的是系統(tǒng)內(nèi)核的地址空間，在User Mode方式下是禁止訪問的。而作者之所以這么用是因為PPC上應(yīng)用程序都是以內(nèi)核模式運行的，所以可行。但是老大說他的PPC上也運行不了，后來問到他的PPC操作系統(tǒng)是Mobile5的，看來Mobile5的應(yīng)用程序也不再是以內(nèi)核模式運行了，我用VS2005打開Mobile5的模擬器試驗了一下，從寄存器上看到的果然是用戶模式，而在PPC2003的模擬器上，同樣是用戶模式，看來這方法行不通了。

        好在Hacking Wince上介紹了另外一種方法，就是SystemCall的方法，這個方法呢原來就是wince系統(tǒng)會開辟一片地址空間0xf0000000~0xf0010000保留不使用，而當(dāng)執(zhí)行到這個地址空間的時候，會引發(fā)一個異常，然后系統(tǒng)再根據(jù)這個異常處理判斷是否引發(fā)一個API函數(shù)調(diào)用，每一個API函數(shù)都根據(jù)一定的算法映射到這片地址區(qū)域（詳細(xì)算法請自己閱讀Hacking Wince，我可不想剝奪你學(xué)習(xí)的樂趣，也不想因為我的錯誤理解誤導(dǎo)你:P)。這個方法的好處是比前面所講的搜索的方法更高效，而且用戶模式下也是可用的。于是乎我又用這個方法實現(xiàn)了我的ShellCode，然后費解的是，我使用的arm匯編指令stmdb，只要后面跟的寄存器寫成{r0-r4}這種形式，在mobile5上運行的時候到這一步就沒反應(yīng)了，實在是非常的費解。不過我想那位老大跟我說的他的設(shè)備是基于Wince.net 4.2 Core的，也就沒在這個問題上花功夫（實際上我后來繞過這一步，到了后面的SystemCall調(diào)用的部分，在Mobile5上也出現(xiàn)問題，貌似這個SystemCall的方法只能在WinCE4.2中使用）。完成了shellcode，但一時沒能聯(lián)系上給我外包的老大，所以就動手做下一步了。

       最后一部就是研究PE文件格式，把我自己的ShellCode“感染”到EXE中間去，這個涉及到一些病毒技術(shù)，我就不多說了，網(wǎng)上這方面的資料也不少。我也輕松實現(xiàn)了這一步驟。

       而所有的一切在我的PPC2003上運行正常之后，終于聯(lián)系上那個老大，程序發(fā)過去被認(rèn)為是病毒隔離了，預(yù)料之中，可是放到他設(shè)備上還是運行不起來，那就是預(yù)料之外了。終于這老大要求的時間也到了，咱做的東西又沒實現(xiàn)功能，估計這老大對我失望了，不理咱了~唉~~~~

       這次的學(xué)習(xí)過程還是讓我了解了不少東西，雖然這外包最終還是失敗了，但還是不覺得虧，畢竟一周的時間里，因為這個外包的壓力，以及求知的興趣，讓我看到了很多之前有時間卻沒看到的東西。不過整整一周都沒好好陪老婆，老婆大人還是蠻有意見的~~:P