加壳技术探讨－加壳时处理IAT _ 安全中国www.anqn.com

加壳时处理IAT
kongfoo/2004.4.3
　　避免壳运行时处理IAT能被跳过的弊端。达到原程序没有一刻是完好的的目的。
加壳时处理IAT要的是找到文件中IAT所在位置和大小。
　　VC和DELPHI程序不同。
　　一、VC notepad.exe分析
　　PE header(eifanew)在e8处。
　　IAT RVA在eifanew+d8处，1000
　　IAT Size在eifanew+dc处，324，这2个值是系统参考值，系统在装入文件时就会参考这2个值。
　　物理位置上的IAT放在第一个节。即400处。
　　PE头接着就是第一个节，所以取SizeOfHeader值就可以定位到第一个节。
　　SizeOfHeader在eifanew+54处，400。
　　现在有了IAT的物理位置和大小。
　　二、DELPHI project1.exe分析
　　eifanew+d8和eifanew+dc处都为0。
　　IAT RVA在eifanew+80处，54000，即目录表的IMPORT_DIR.VirtualAddress
　　IAT Size在eifanew+84处，1f4，即目录表的IMPORT_DIR.Size
　　这2个值也是系统参考值，系统在装入文件时参考这2个值，把IAT放进去。

　　跳转表在第一个节开始。

　　三、系统装入IAT工作流程猜测
　　先在eifanew+d8和eifanew+dc取IAT RVA和IAT Size，值非空即将第一个节IAT Size
个字节装入IAT RVA指向的地址。
　　若取得的IAT RVA和IAT Size为0即取eifanew+80和eifanew+84的IMPORT_DIR.VirtualAddress
和IMPORT_DIR.Size值，将这2个值作为IAT RVA和IAT Size参考值。再去BaseOfData
取各API的字串和DLL字串，根据字串取API地址，再把地址放到IAT RVA中。

　　四、加壳时加密IAT
　　要在加壳时加密IAT，对VC的程序很简单。对DELPHI复杂很多。一：取IMPORT_DIR值，
再用取各API地址，把地址写回第一个节，再把IAT RVA和IAT Size的值改成IMPORT_DIR的值。
这样就完成了DELPHI程序IAT向VC程序的转变。再用对VC程序IAT加密的方法对其进行加密。
但有一难点，原来的第一个节没办法处理。所以加壳时加密IAT只能针对个别程序。

　　五、其它
　　DELPHI这种对API地址处理的方式也有其好处，跨平台。