近日接到一個wince外包項目，要求我給他的軟件提供License控制，本來這個問題很容易解決，如果有源碼的話，只需要在進入主程序之前進行license校驗就可以搞定了，然而要命的就是他沒有源代碼，要求我直接對其exe進行加密。
      
       這可是有點難度的，之前我也沒接觸過匯編，更沒有仔細去研究過PE文件格式，想起來還是覺得很有挑戰的，不過我這人就喜歡挑戰，沒有挑戰，怎么能促進自己學習呢？首先從原理上對這個實現進行一下分析：
       1）Wince上的可執行exe文件，也是遵從PE文件格式的，這個以前我略有了解，加密解密不知道這個文件格式肯定是不行的。要實現對現有的EXE文件進行加密，先進行License校驗，再根據校驗結果判斷是否轉到主程序代碼，從匯編的角度來說，就是我自己要寫一段代碼來完成License校驗，然后判斷結果，使用條件跳轉指令來控制是否跳轉到原來的主程序入口點繼續執行，而我自己寫的這段代碼也就是ShellCode了，病毒、黑客技術中這個詞出現的就多了。對于PE文件而言，就是要把我的ShellCode（包括根據結果判斷跳轉的部分）加到原來的EXE文件中，并且更改原EXE文件的入口點地址到我的shellcode處。
       2）我自己以前沒接觸過匯編，這下段時間內全部用匯編完成License的校驗代碼，顯然是不那么容易的，我選擇了折中的辦法，準備在我的ShellCode中去加載一個DLL，而License校驗就在DLL中實現。雖然這種方法很容易被破解，暫時也只能是采取這個權益之計了。
       3）ShellCode中要使用到一些API函數，因此必須找到一個辦法，在系統內核的地址空間內定位到這些API函數。

       根據上面的分析，就把主要的任務分成了三個部分，第二個部分對我來說是最簡單的了，隨時都可以完成，因此我把它放在最低優先等級，我只寫了一個空殼dll可以用來加載作測試。那么接下來我們要做的就是1、3，pe文件格式的資料還是很多的，我想這個也不困難，而關于如何在系統地址空間內定位API函數地址的資料，就不那么好找啦，Windows下面的可能還好點，WindowsCE下面的我還沒看到過。于是我決定從這里入手，如果這關過不去，我就不用再做別的事情了。

        經過搜索，關于定位WinCEAPI函數地址的資料，幾乎都出自一篇Hacking Wince的文章，雖然還有《WinCEAPI機制初探》等中文文章，其實都是從Hacking Wince中間轉出來的。Hacking WinCE是篇英文的，大家可以在網上搜索了看看，文章寫的還是比較詳細的，根據文中的方法，先定位到KDataStruct結構，然后再順藤摸瓜往下找，雖然很復雜，但確實可以定位到API函數地址，但是這時我犯了個錯誤，就是我在這篇文章中只看了一下它的實現原理，和它的C++語言的實現，沒有去讀它的匯編實現，因為我不懂啊~我也照著他的C++語言實現自己寫了一遍，調試了一下，基本上了解了是怎么一個過程，然后我就開始學習匯編了，而我犯的錯誤就是從這里開始，我到處找來的匯編資料，然后先了解匯編有哪些指令什么什么的~最后照葫蘆畫瓢，寫了一段匯編代碼實現上面的過程，到頭來要編譯了，才想起來，貌似我用的是8086的匯編，而在WinCE上似乎不是用這個，因為大部分的嵌入式設備采用ARM處理器，所以一般寫wince上的匯編代碼是用arm匯編的，這個時候我才發現我走錯了路，趕緊回頭找了arm匯編的資料，arm匯編的資料也不甚多，一個chm的文檔而已，看了一下，從寄存器開始都和8086的匯編不一樣了，然后仔細學習了一下。最后好歹還是讓我給寫出了arm匯編的代碼，在我的HP2790（windows Mobile 2003）上運行正常，這時候真的是興奮的不得了了。急忙聯系給我外包的老大，讓他試試看這段代碼在他設備上能否成功加載dll，結果卻是令人遺憾的不可以。

        為何不可以呢，我又回到Hacking Wince上去，我記得當時看到這么一段，但是當時沒有認真去研究，KDataStruct的定位方法是不能在User Mode下使用的，因為要訪問的是系統內核的地址空間，在User Mode方式下是禁止訪問的。而作者之所以這么用是因為PPC上應用程序都是以內核模式運行的，所以可行。但是老大說他的PPC上也運行不了，后來問到他的PPC操作系統是Mobile5的，看來Mobile5的應用程序也不再是以內核模式運行了，我用VS2005打開Mobile5的模擬器試驗了一下，從寄存器上看到的果然是用戶模式，而在PPC2003的模擬器上，同樣是用戶模式，看來這方法行不通了。

        好在Hacking Wince上介紹了另外一種方法，就是SystemCall的方法，這個方法呢原來就是wince系統會開辟一片地址空間0xf0000000~0xf0010000保留不使用，而當執行到這個地址空間的時候，會引發一個異常，然后系統再根據這個異常處理判斷是否引發一個API函數調用，每一個API函數都根據一定的算法映射到這片地址區域（詳細算法請自己閱讀Hacking Wince，我可不想剝奪你學習的樂趣，也不想因為我的錯誤理解誤導你:P)。這個方法的好處是比前面所講的搜索的方法更高效，而且用戶模式下也是可用的。于是乎我又用這個方法實現了我的ShellCode，然后費解的是，我使用的arm匯編指令stmdb，只要后面跟的寄存器寫成{r0-r4}這種形式，在mobile5上運行的時候到這一步就沒反應了，實在是非常的費解。不過我想那位老大跟我說的他的設備是基于Wince.net 4.2 Core的，也就沒在這個問題上花功夫（實際上我后來繞過這一步，到了后面的SystemCall調用的部分，在Mobile5上也出現問題，貌似這個SystemCall的方法只能在WinCE4.2中使用）。完成了shellcode，但一時沒能聯系上給我外包的老大，所以就動手做下一步了。

       最后一部就是研究PE文件格式，把我自己的ShellCode“感染”到EXE中間去，這個涉及到一些病毒技術，我就不多說了，網上這方面的資料也不少。我也輕松實現了這一步驟。

       而所有的一切在我的PPC2003上運行正常之后，終于聯系上那個老大，程序發過去被認為是病毒隔離了，預料之中，可是放到他設備上還是運行不起來，那就是預料之外了。終于這老大要求的時間也到了，咱做的東西又沒實現功能，估計這老大對我失望了，不理咱了~唉~~~~

       這次的學習過程還是讓我了解了不少東西，雖然這外包最終還是失敗了，但還是不覺得虧，畢竟一周的時間里，因為這個外包的壓力，以及求知的興趣，讓我看到了很多之前有時間卻沒看到的東西。不過整整一周都沒好好陪老婆，老婆大人還是蠻有意見的~~:P