开启邀请码注册中,禁止灌水!发现一次永久禁言

墨客安全网

 找回密码
 立即注册

墨客安全网-新手入门指南 常见问题及帮助 | 做任务赚墨币币 新人报道 | 悬赏问答| 墨币充值| 帖子举报

墨客安全网-论坛精华合集 墨客安全网 -精华合集 之 速成之路 原创精品 | 加入墨客Vip | Vip工具| Vip教程

墨客安全网-进阶技术学习区 软件/工具| 社工专区 | 入侵检测| 技术文章 动画教程 | 编程交流| 免杀更新 | 程序源码

[悬赏公告] - 严查灌水,打造一个无水论坛,从即日起.请大家互相监督,发现恶意灌水的,请发贴举报,核实后会给予5-10的墨币奖励。
[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核,如有违反永久禁言处理!
 [招聘招聘]-招聘各方面给力版主,要求每日发帖不少于3贴,每天在线时间6个小时以上,具体福利和待遇联系TG客服或者在线管理员
[官方公告]1.发现网盘下载地址失效!可以发贴举报 审核证实后给予奖励10-20墨币。2.即日起!不管是谁发贴!都不能带QQ群 已及个人QQ。个人网站,发现后严格处理。
[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利!【官方公告】论坛所有广告均为商业行为,需要交易的请尽量走担保程序,所有因广告产生的任何纠纷请私下解决【站外广告】收灰产肉鸡!拿来换钱!不要国内肉鸡。可合作可包养!爱我中华!!联系方式TG:@rouji8888【站外广告】渗透大佬来接单。长期包养!保底后出金5 5分!只搞国外灰产!爱我中华!飞机:@rouji8888
【站外广告】大量收购黑灰飞机肉鸡 有的联系批量拿

高价收色刷 刷单 兼职 菠菜肉鸡

联系tg

@seeok9

【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服
查看: 832|回复: 1

[病毒木马知识] VC编译器处理免杀

[复制链接]
  • TA的每日心情
    擦汗
    2024-12-25 22:26
  • 签到天数: 161 天

    连续签到: 1 天

    [LV.7]常住居民III

    805

    主题

    1212

    回帖

    3万

    积分

    UID
    1
    威望
    339 (点)
    主题
    805 (帖)
    精华
    101 (帖)
    贡献
    29  (次)
    墨币
    28418  (枚)
    活跃
    230  (点)
    担保币
    1  (枚)
    注册时间
    2015-5-30
    最后登录
    2025-1-14

    热心会员突出贡献荣誉管理兄弟义气论坛帅哥绝世好人乐观达人音乐大师富二代

    QQ
    发表于 2015-8-13 20:30:52 | 显示全部楼层 |阅读模式
    1、设置环境变量:

    PATH=C:\Program Files\Microsoft Visual Studio 8\vc\bin

    INCLUDE=C:\Program Files\Microsoft Visual Studio 8\VC\include

    LIB=C:\Program Files\Microsoft Visual Studio 8\VC\lib

    如果提示找不到mspdb80.dll文件,则从C:\Program Files\Microsoft Visual Studio 8\Common7\IDE下拷贝“msobj80.dll,mspdb80.dll,mspdbcore.dll,mspdbsrv.exe”这四个文件到C:\Program Files\Microsoft Visual Studio 8\VC\bin下即可。



    2、命令选项:

    1)       /C:在预处理输出中保留注释语句

    2)       /c:只编译,不连接,相当于在"Build"菜单下选择了"Compile"

    3)       /D:定义常量和宏,与源程序里的#define 有相同效果

    4)       /E:预处理C、C++源文件,将源文件中所有的预编译指令及宏展开,将注释去掉,然后将预处理器的输出拷贝至标准输出设备输出,并且在每个文件的开头和末尾加入#line

    5)       /EH:指定编译器用何种异常处理模型

    6)       /EP:同/E,只是去掉了#line

    7)       /F:设置程序的堆栈大小

    8)       /FA:设置生成何种列表文件(汇编、汇编与机器码、汇编与源码、汇编与机器码以及源码)

    9)       /Fa:指定用/FA设置的列表文件的存放路径及(或)文件名

    10) /FD:生成文件的相互依赖信息

    11) /Fd:设置程序数据库文件(PDB)的存放路径及(或)文件名

    12) /Fe:设置最终可执行文件的存放路径及(或)文件名

    13) /FI:预处理指定的头文件,与源文件中的#include有相同效果

    14) /Fm:创建map文件

    15) /Fo:设置编译后Obj文件的存放路径及(或)文件名

    16) /Fp:设置预编译文件(pch)的存放路径及(或)文件名

    17) /FR:生成浏览信息(sbr)文件

    18) /Fr:同/FR,不同之处在于/Fr不包括局部变量信息

    19) /G3:为80386处理器优化代码生成

    20) /G4:为80486处理器优化代码生成

    21) /G5:为Pentium处理器优化代码生成

    22) /G6:为Pentium Pro处理器优化代码生成

    23) /GA:为windows应用程序作优化

    24) /GB:为Pentium处理器优化代码生成,使用80386、80486、Pentium、Pentium Pro的混合指令集,是代码生成的默认选项(程序属性选项中Processor对应Blend)

    25) /GD:为Windows动态库(dll)作优化,此开关在VC6中没有实现

    26) /Gd:指定使用__cdecl的函数调用规则

    27) /Ge:激活堆栈检测

    28) /GF:消除程序中的重复的字符串,并将她放到只读的缓冲区中

    29) /Gf:消除程序中的重复字符串

    30) /Gh:在每个函数的开头调用钩子(hook)函数--penter

    31) /Gi:允许渐进编译

    32) /Gm:允许最小化rebuild

    33) /GR:允许运行时类型信息(Run-Time Type Infomation)

    34) /Gr:指定使用__fastcall的函数调用规则

    35) /Gs:控制堆栈检测所用内存大小

    36) /GT:支持用__declspec(thread)分配的数据的fier-safety

    37) /GX:允许同步异常处理,与/EHsc开关等价

    38) /Gy:允许编译器将每一个函数封装成COMDATs的形式,供连接器调用

    39) /GZ:允许在Debug build 的时候捕捉Release build的错误

    40) /Gz:指定使用__stdcall的函数调用规则

    41) /H:限制外部名字的长度

    42) /HELP:列出编译器的所有的命令开关

    43) /I:指定头文件的搜索路径

    44) /J:将char的缺省类型从signed char改成unsigned char

    45) /LD:创建一个动态连接库

    46) /LDd:创建一个Debug版本的动态链接库

    47) /link:将指定的选项传给连接器

    48) /MD:选择多线程、DLL版本的C Run-Time库

    49) /MDd:选择多线程、DLL、Debug版本的C Run-Time库

    50) /ML:选择单线程版本的C Run—Time库

    51) /MLd:选择单线程、Debug版本的C Run—Time库

    52) /MT:选择多线程版本的C Run-Time库

    53) /MTd:选择多线程、Debug版本的C Run—Time库

    54) /nologo:不显示程序的版权信息

    55) /O1:优化使产生的可执行代码最小

    56) /O2:优化使产生的可执行代码速度最快

    57) /Oa:指示编译器程序里没有使用别名,可以提高程序的执行速度

    58) /Ob:控制内联(inline)函数的展开

    59) /Od:禁止代码优化

    60) /Og:使用全局优化

    61) /Oi:用内部函数去代替程序里的函数调用,可以使程序运行的更快,但程序的长度变长

    62) /Op:提高浮点数比较运算的一致性

    63) /Os:产生尽可能小的可执行代码

    64) /Ot:产生尽可能块的可执行代码

    65) /Ow:指示编译器在函数体内部没有使用别名

    66) /Ox:组合了几个优化开关,达到尽可能多的优化

    67) /Oy:阻止调用堆栈里创建帧指针

    68) /Q1f:对核心级的设备驱动程序生成单独的调试信息

    69) /QI0f:对Pentium 0x0f错误指令作修正

    70) /Qifdiv:对Pentium FDIV错误指令作修正

    71) /P:将预处理输出写到指定文件里,文件的后缀名为I

    72) /TC:将命令行上的所有文件都当作C源程序编译,不管后缀名是否为.c

    73) /Tc:将指定的文件当作C源程序编译,不管后缀名是否为.c

    74) /TP:将命令行上的所有文件都当作C++源程序编译,不管后缀名是否为.cpp

    75) /Tp:将指定文件当作C++源程序编译,不管后缀名是否为.cpp

    76) /U:去掉一个指定的前面定义的符号或常量

    77) /u:去掉所有前面定义的符号或常量

    78) /V:在编译的obj文件里嵌入版本号

    79) /vd:禁止/允许构造函数置换

    80) /vmb:选择指针的表示方法,使用这个开关,在声明指向某个类的成员的指针之前,必须先定义这个类

    81) /vmg:选择指针的表示方法,使用这个开关,在声明指向某个类的成员的指针之前,不必先定义这个类,但要首先指定这个类是使用何种继承方法

    82) /vmm:设置指针的表示方法为Single Inheritance and Multiple Inheritance

    83) /vms:设置指针的表示方法为Single Inheritance

    84) /vmv:设置指针的表示方法为Any class

    85) /W:设置警告等级

    86) /w:禁止所有警告

    87) /X:阻止编译器搜索标准的include 目录

    88) /Yc:创建预编译头文件(pch)

    89) /Yd:在所有的obj文件里写上完全的调试信息

    90) /Yu:在build过程中使用指定的预编译头文件

    91) /YX:指示编译器若预编译头文件存在,则使用它,若不存在,则创建一个

    92) /Z7:生成MSC7.0兼容的调试信息

    93) /Za:禁止语言扩展(Microsoft Extensions to C)

    94) /Zd:调试信息只包含外部和全局的符号信息以及行号信息

    95) /Ze:允许语言扩展(Microsoft Extensions to C)

    96) /Zg:为源文件里面定义的每个函数生成函数原型

    97) /ZI:生成程序库文件(Pdb)并支持Edit and Continue调试特性

    98) /Zi:生成程序库文件(pdb),包含类型信息和符号调试信息

    99) /ZL:从obj文件里去掉缺省的库文件名

    100)            /Zm:设置编译器的内存分配xianzhi

    101)            /Zn:禁止浏览信息文件里面的封装

    102)            /Zp:设置结构成员在内存里面的封装格式

    103)            /Zs:快速检查语法错误

    --------------------------

    vc所支持的文件类型

    1)       DSW:全称是Developer Studio Workspace,最高级别的配置文件,记录了整个工作空间的配置信息,她是一个纯文本的文件,在vc创建新项目的时候自动生成

    2)       DSP:全称是Developer Studio Project,也是一个配置文件,不过她记录的是一个项目的所有配置信息,纯文本文件

    3)       OPT:与DSW、DSP配合使用的配置文件,她记录了与机器硬件有关的信息,同一个项目在不同的机器上的opt文件内容是不同的

    4)       CLW:记录了跟ClassWizard相关的信息,如果丢失了clw文件,那么在Class View面板里就没有类信息

    5)       PLG:实际上是一个超文本文件,可以用Internet Explorer打开,记录了Build的过程,是一个日志型文件

    6)       RC:资源描述文件,记录了所有的资源信息,在资源编辑器里作的修改,实际上都是对RC文件的修改

    7)       RC2:附加的资源描述文件,不能直接资源编辑器修改,只能手工添加,可以用来添加额外的资源

    8)       RES:经过资源编辑器编译之后的资源文件,以二进制方式存放

    9)       SBR:编译器生成的浏览信息文件,在代码导航的时候非常有用,她需要在编译时指定/FR或者/Fr开关

    10) BSC:BSCMAKE.EXE将所有的SBR文件作为输入,经过处理之后输出一个BSC文件,在代码导航的时候实际用到的是BSC文件

    11) ILK:当选定渐增型编译连接时,连接器自动生成ILK文件,记录连接信息

    12) PDB:全称是Program DataBase,即程序数据库文件,用来记录调试信息,是一个相当重要的文件,没有他,程序无法正常调试

    13) LIB:如果项目输出是Dll的话,一般会输出一个跟项目同名的Lib文件,记录输出的函数信息

    14) EXP:同Lib,是跟Dll一起生成的输出文件

    15) PCH:全称是PreCompiled Header,就是预先编译好的头文件,在编译时指定/Yu开关时编译器自动生成




    2008-11-14 17:15

    CL.exe   是控制   Microsoft   C   和   C++   编译器与链接器的   32   位工具。编译器产生通用对象文件格式   (COFF)   对象   (.obj)   文件。链接器产生可执行文件   (.exe)   或动态链接库文件   (DLL)。

    注意,所有编译器选项都区分大小写。

    若要编译但不链接,请使用   /c。

    使用   NMAKE   生成输出文件。

    使用   BSCMAKE   支持类浏览。

    以下是一个完整的编译器选项分类列表。

    优化

    选项   作用   
    /O1   创建小代码   
    /O2   创建快速代码   
    /Oa   假设没有别名   
    /Ob   控制内联展开   
    /Od   禁用优化   
    /Og   使用全局优化   
    /Oi   生成内部函数   
    /Op   改善浮点数一致性   
    /Os   代码大小优先   
    /Ot   代码速度优先   
    /Ow   假定在函数调用中使用别名   
    /Ox   使用最大优化   (/Ob1gity   /Gs)   
    /Oy   省略框架指针   

    代码生成

    选项   作用   
    /clr   启用   C++   的托管扩展并产生在公共语言运行库上运行的输出文件   
    /EH   指定异常处理模型   
    /G3   优化代码以优选   386   处理器。在   Visual   C++   5.0   中已经停用,编译器将忽略此选项   
    /G4   优化代码以优选   486   处理器。在   Visual   C++   5.0   中已经停用,编译器将忽略此选项   
    /G5   优化代码以优选   Pentium   
    /GB   与   /G6   等效;将   _M_IX86   的值设置为   600   
    /Gd   使用   __cdecl   调用约定   
    /Ge   激活堆栈探测   
    /GF
    /GF   启用字符串池   
    /GH   调用挂钩函数   _penter   
    /GH   调用挂钩函数   _pexit   
    /GL   启用全程序优化   
    /Gm   启用最小重新生成   
    /Gr   启用运行时类型信息   (RTTI)   
    /Gr   使用   __fastcall   调用约定   
    /GS   控制堆栈探测   
    /GT   支持使用静态线程本地存储区分配的数据的纤程安全   
    /GX   启用同步异常处理   
    /Gy   启用函数级链接   
    /GZ   使用   __stdcall   调用约定   
    /MD   使用   MSVCRT.lib   创建多线程   DLL   
    /MDd   使用   MSVCRTD.lib   创建调试多线程   DLL   
    /ML   使用   LIBC.lib   创建单线程可执行文件   
    /MLd   使用   LIBCD.lib   创建调试单线程可执行文件   
    /MT   使用   LIBCMT.lib   创建多线程可执行文件   
    /MTd   使用   LIBCMTD.lib   创建调试多线程可执行文件   

    输出文件

    选项   作用   
    /FA
    /FA   创建列表文件
    设置列表文件名   
    /Fd   重命名程序数据库文件   
    /Fe   重命名可执行文件   
    /Fm   创建映射文件   
    /Fo   创建对象文件   
    /Fp   指定预编译头文件名   
    /FR
    /FR   生成浏览器文件   
    /Fx   将插入的代码与源文件合并   

    调试

    选项   作用   
    /GS   缓冲区安全检查   
    /GZ   与   /RTC1   相同   
    /RTC   启用运行时错误检查   
    /Wp64   检测   64   位可移植性问题   
    /Yd   将完整的调试信息放在所有对象文件中   
    /Yl   创建调试库时插入   PCH   引用   
    /Z7   生成与   C   7.0   兼容的调试信息   
    /Zd   生成行号   
    /Zi   生成完整的调试信息   

    预处理器

    选项   作用   
    /AI   指定在解析传递到#using   指令的文件引用时搜索的目录   
    /c   在预处理期间保留注释   
    /D   定义常数和宏   
    /E   将预处理器输出复制到标准输出   
    /EP   将预处理器输出复制到标准输出   
    /Fl   预处理指定的包含文件   
    /FU   强制使用文件名,就像它已被传递到#using   指令一样   
    /I   在目录中搜索包含文件   
    /P   将预处理器输出写入文件   
    /U   移除预定义宏   
    /U   移除所有的预定义宏   
    /X   忽略标准包含目录   
    /ZI   将调试信息包含在与“编辑并继续”兼容的程序数据库中   

    语言

    选项   作用   
    /noBool   取消   C++   bool、true   和   false   关键字   
    /vd   取消或启用隐藏的   vtordisp   类成员   
    /vmb   对指向成员的指针使用最佳的基   
    /vmg   对指向成员的指针使用完全一般性   
    /vmm   声明多重继承   
    /vms   声明单一继承   
    /vmv   声明虚拟继承   
    /Za   禁用语言扩展   
    /Zc   在   /Ze   下指定标准行为   
    /Ze   启用语言扩展   
    /Zg   生成函数原型   
    /Zl   从   .obj   文件中移除默认库名   
    /Zp   n   封装结构成员   
    /Zs   只检查语法   

    链接

    选项   作用   
    /F   设置堆栈大小   
    /LD   创建动态链接库   
    /LDd   创建调试动态链接库   
    /link   将指定的选项传递给   LINK   
    /MD   使用   MSVCRT.lib   编译以创建多线程   DLL   
    /MDd   使用   MSVCRTD.lib   编译以创建调试多线程   DLL   
    /ML   使用   LIBC.lib   编译以创建单线程可执行文件   
    /MLd   使用   LIBCD.lib   编译以创建调试单线程可执行文件   
    /MT   使用   LIBCMT.lib   编译以创建多线程可执行文件   
    /MTd   使用   LIBCMTD.lib   编译以创建调试多线程可执行文件   

    预编译头

    选项   作用   
    /Y-   忽略当前生成中的所有其他预编译头编译器选项   
    /Yc   创建预编译头文件   
    /Yd   将完整的调试信息放在所有对象文件中   
    /Yu   在生成期间使用预编译头文件   
    /YX   自动处理预编译头   

    杂项

    选项   作用   
    @   指定响应文件   
    /?   列出编译器选项   
    /c   编译但不链接   
    /H   限制外部(公共)名称的长度   
    /HELP   列出编译器选项   
    /J   更改默认的   char   类型   
    /NOLOGO   取消显示登录版权标志   
    /QI0f   确保   Pentium   0F   指令没有问题   
    /QIfdiv   FDIV、FPREM、FPTAN   和   FPATAN   指令有缺陷的   Intel   Pentium   微处理器的变通方法   
    QIfist   当需要从浮点类型转换为整型时取消   Helper   函数   _ftol   的调用   
    /showIncludes   在编译期间显示所有包含文件的列表   
    /Tc
    /Tc   指定   C   源文件   
    /Tp
    /Tp   指定   C++   源文件   
    /V   设置版本字符串   
    /w   设置警告等级   
    /w   禁用所有警告   
    /Wall   启用所有警告,包括默认情况下禁用的警告   
    /WL   在从命令行编译   C++   源代码时启用错误信息和警告消息的单行诊断   
    /Zm   设置编译器的内存分配限制   
    CL   命令行使用下列语法:

    CL   [option...]   file...   [option   |   file]...   [lib...]   [@command-file]   [/link   link-opt...]

    下表说明CL   命令的输入项意义   

    option   一个或多个   CL   选项。请注意,所有选项都应用于所有指定的源文件。选项是由一个正斜杠   (/)   或一个短划线   (–)   指定的。如果某个选项带有参数,则该选项的说明指定在选项和参数之间是否允许有空格。选项名(/HELP   选项除外)区分大小写。有关更多信息,请参阅   CL   选项的顺序。      

    file   一个或多个源文件、.obj   文件或库的名称。CL   编译源文件并将   .obj   文件和库的名称传递给链接器。有关更多信息,请参阅   CL   文件名语法。      

    lib   一个或多个库名。CL   将这些名称传递给链接器。   

    command-file   包含多个选项和文件名的文件。有关更多信息,请参阅   CL   命令文件。   

    link-opt   一个或多个链接器选项。CL   将这些选项传递给链接器。   

    您可以指定任意数目的选项、文件名和库名,条件是命令行上的字符数不超过   1024,该限制是操作系统指定的。

    本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/dongshengli ... /07/26/5767436.aspx


















    、Debug 和 Release 编译放式的区别:
    Debug 通常称为调试版本,它包含调试信息,并且不作任何优化,便于程序员调试程序。Release 称为发布版本,它往往是进行了各种优化,使得程序在代码大小和运行速度上都是最优的,以便用户很好地使用。
    Debug 和 Release 的真正秘密,在于一组编译选项。下面列出了分别针对二者的选项(当然除此之外还有其它一些,如/Fd /Fo,但区别并不重要,通常他们也不会引起 Release 版错误,在此不讨论) Debug 版本: /MDd /MLd 或 /MTd 使用 Debug runtime library(调试版本的运行时刻函数库) /Od 关闭优化开关 /D "_DEBUG" 相当于 #define _DEBUG,打开编译调试代码开关(主要针对 assert函数) /ZI 创建 Edit and continue(编辑继续)数据库,这样在调试过 程中如果修改了源代码不需重新编译 /GZ 可以帮助捕获内存错误 /Gm 打开最小化重链接开关,减少链接时间 Release 版本: /MD /ML 或 /MT 使用发布版本的运行时刻函数库 /O1 或 /O2 优化开关,使程序最小或最快 /D "NDEBUG" 关闭条件编译调试代码开关(即不编译assert函数) /GF 合并重复的字符串,并将字符串常量放到只读存储器,防止 被修改
    时际上,Debug 和 Release 并没有本质的界限,他们只是一组编译选项的集合,编译器只是按照预定的选项行动。事实上,我们甚至可以修改这些选项,从而得到优化过的调试版本或是带跟踪语句的发布版本。
    Debug 和 Release编译方式在木马制作方面的应用是:调试完成以后,使用Release模式编译,这样生成的木马体积可以减小很多.

    2、编译器选项:
    #pragma主要包含一些预处理命令,比如共享内存,修改内存属性等等

    //自定义对齐方式
    #pragma comment(linker, "/FILEALIGN:16")
    #pragma comment(linker, "/ALIGN:16")//定义最小节的大小,数值越小程序体积越小
    //http://msdn.microsoft.com/zh-cn/wf5kss02.aspx
    通过这个编译器选项能够去掉代码中由于对齐而产生的多余代码
    这两个必须同时使用,否则编译出来的程序不能运行
    使用了这个编译器选项之后一般不能再对文件加壳


    #pragma comment(linker, "/OPT:REF")
    #pragma comment(linker, "/OPT:ICF")
    #pragma comment(linker, "/OPT:NOWIN98") // 使用老VC编绎器的512大小为一节

    //自定义加载的库
    #pragma comment(lib,"kernel32.lib")//表示链接kernel32_32.lib这个库
    #pragma comment(lib,"shell32.lib")
    #pragma comment(lib,"msvcrt.lib") //使用VC6.0动态链接库

    //自定义函数入口
    #pragma comment(linker, "/ENTRY:EntryPoint")
    //更改默认的入口函数,之后就要用ExitProcess(0);才能正常退出;

    //设置子系统类型
    #pragma comment(linker,"/subsystem:windows") //这样双击运行程序的时候就不会出现cmd窗口了
    http://blog.csdn.net/lostangels/archive/2008/01/06/2027642.aspx

    // 优化选项
    #pragma comment(linker, "/opt:nowin98")
    //http://support.microsoft.com/kb/235956/zh-cn
    #pragma comment(linker, "/opt:ref")
    #pragma comment (linker, "/OPT:ICF")


    // 合并区段
    #pragma comment(linker, "/MERGE:.rdata=.data")//把rdata区段合并到data区段里
    #pragma comment(linker, "/MERGE:.text=.data")//把text区段合并到data区段里
    #pragma comment(linker, "/MERGE:.reloc=.data")//把reloc区段合并到data区段里


    //设置区段属性
    #pragma comment(linker, "/section:.data,RWE")
    在LodePe里看到的就是E0000040,其中RWE是可读、可写、可执行的意思
    R:readable
    W:Writable
    E:executable

    #pragma optimize("gsy", on)
    http://msdn.microsoft.com/zh-cn/library/chh3fb0k(en-us).aspx

    #pragma code_seg("PAGE") //其中PAGE是区段的名称
    //这个是免杀中最有用的一个编译器选项,它可以把cpp文件里的代码放到一个单独的区段里,这样在对付杀毒软件的代码查杀的时候,给我们带来了非常大的方便

    #pragma comment(linker,"/entry:mainCRTStartup")
    //设置入口函数为main


    昨天做了个telnet后门程序玩,
    既然是后门嘛,自然是越小越好.可是我的VC9编译一个HelloWorld都有50K+...
    动态链接到MSVCRT90.dll倒是小下来了,但是得背上一个更变态的dll(600多k)
    而这个msvcrt90.dll就是我的vista sp1也不是自带的.更不便于程序的部署.
    最后自己去查了查资料终于编译出体积比较满意的exe,步骤如下:
    1.扔掉CRT.
    CRT提供了大量常用的函数.可说只要C/C++程序基本都会用到它.但是获得了方便的同
    时也增大了不少体积.虽然可以通过动态链接到外部的dll来解决,但是自此就有了对一
    个更大的dll的依赖.所以要减肥,就要先拿CRT开刀.
    在cl的编译参数中加上/MD,再在link中加上/nodefaultlib:msvcrt.lib即可避免链接
    到crt(静态crt的lib文件名我不清楚,所以就先链接成动态的,再去除对应的msvcrt.lib)

    2.重载new,new[],delete,delete[]
    C/C++程序少不了动态分配内存,前面丢掉了CRT,再编译程序会发现反是有内存分配的地方都
    在报错,这是因为我去掉了crt,编译器找不到对应的函数所致.所以要自己写内存分配函数.
    C的malloc和C++的new/new[]都是在当前的堆上分配内存.所以只要照着写一遍就可以了:

    C/C++ code
    typedef UINT size_t; void *malloc(size_t size) {   return HeapAlloc (GetProcessHeap(),NULL,size); } void free (void *memblock) {   HeapFree (GetProcessHeap(),NULL,memblock); } void *realloc(void *memblock,size_t size) {   return HeapReAlloc (GetProcessHeap(),NULL,memblock,size); } void *operator new(size_t count) {   return malloc (count); } void *operator new[](size_t count) {   return malloc (count); } void operator delete(void* _Ptr) throw( ) {   free (_Ptr); } void operator delete[](void* _Ptr) throw( ) {   free (_Ptr); }
    3.常用函数的替代.
    没了CRT许多常用的函数都无法使用,全部自己重写无疑大大加大了程序的代
    码量,也没多大意义.windows提供了很多常用的函数.都由系统的dll来提供,
    使用它们就不用
    a 字符串处理函数.
      字符串处理函数的替代品很多,kernel32.dll提供了lstr***的函数.完全
    可以满足字符串处理的需要,C的格式化字符串sprintf函数很好用,而user32.dll
    也提供了相应的函数wsprintf/wvsprintf用于替代.没有字符串查找函数有点麻烦
    不过自己写也要不了几行代码,或者干脆用Shlwapi.dll提供的更完整的字符串处理
    库来替代.
    b 命令行输入/输出函数.
      这个...系统还真没提供啥对应的函数,不过好在常用也不是太复杂.用Console API写
    几条常用的getline和puts就足够了.

    4.重新指定入口点.
      如果问VC程序的入口点是什么,估计会有不少人回答是main/WinMain.
    没错.这是使用了标准的CRT的程序的入口点.但是实际的入口函数是CRT内部编写好的.在
    完成库的初始化后再调用main/WinMain.既然移除了CRT,链接器自然就会发出找不到入口
    函数的错误,解决方法很简单,用/entry:指定一个函数就可以了.我仍然用习惯的main.
    但是注意,这个main不能带任何的参数.带了也用不了.

    5.更改节的对齐大小.
    cl编译器默认的对齐大小是4K(4096)这个数值的设定是个问题.有时候会使编译出来的程序无
    法执行.这个只有自己反复的试验了.我将它设置为512(其实还可以更小,但是小于512的程序不能使用upx压缩)程序又小了几K.

    6.给exe加壳.
    使用exe加壳程序给程序加个壳也是减小体积的一个好方法.
    我常用的是upx,如果前面的节对齐的值大于512的话,就可以使用upx进行加壳压缩.
    通常可以压缩至原大小的66%左右.

    7.折中的办法:

    丢掉了CRT,重写一些函数的工作量比较大,而且有些函数自己也写不出来.(比如sin函数,像我这样的
    高数菜鸟拿着就头痛)但确实有时候会用到这些函数.于是就有了以下的折中办法:
    VC6是98年推出的.它的动态链接库版的dll是msvcrt.dll,因为出来的早,这个dll的装机率十分的高.
    (我以前学校的win98se都自带,98后的系统自然不用说了.)使用它基本可以不考虑部署时缺少dll的问题
    所以可以使用这个dll提供的crt函数.要使用它,先得去找个vc6,复制里面的msvcrt.lib,改个名.比如
    vcrt6.lib然后把它添加到链接的库里.编译的时候会有库冲突的提示,直接无视即可.这样既可以使用绝大
    部分的CRT库,又做到了减肥.还不用担心会有找不到库的情况.也不用再重新指定入口点.但是经我试验发现
    这样编译出来的程序还是会比完全丢掉CRT的大上一点,所以只是个折中的办法.

    接下来做下试验:
    写一个简单的程序:


    C/C++ code
    #include <windows.h> #include <stdio.h> void main () {   char* str = new char[250];   sprintf (str,"当前系统已运行了%d毫秒!",GetTickCount());   MessageBox (NULL,str,str,MB_ICONINFORMATION);   delete[] str; }

    然后做下编译(VC9的编译器,未更改节对齐值,未做加壳)
    静态CRT:50KB
    动态链接CRT:5.50KB
    使用VC6的动态链接CRT:3.00 KB

    完全不用CRT要做下更改:

    C/C++ code
    #include <windows.h> #pragma comment (lib,"user32.lib") #pragma comment (lib,"kernel32.lib") void *operator new[] (unsigned int size) {   return HeapAlloc (GetProcessHeap(),NULL,size); } void operator delete[] (void* memblock) {   HeapFree (GetProcessHeap(),NULL,memblock); } #define sprintf wsprintf void main () {   char* str = new char[250];   sprintf (str,"当前系统已运行了%d毫秒!",GetTickCount());   MessageBox (NULL,str,str,MB_ICONINFORMATION);   delete[] str; 编译参数也比较长:   cl /MD msgbox.cpp /link /nodefaultlib:msvcrt.lib /entry:main   编译后大小:2.00KB  加上/align:16编译后大小:960Byte  }

    相关帖子

    请文明签到,随机抽查。发现灌水,广告,骂人,等内容将永久禁言
  • TA的每日心情
    奋斗
    2018-6-8 02:12
  • 签到天数: 67 天

    连续签到: 1 天

    [LV.6]常住居民II

    6

    主题

    631

    回帖

    3964

    积分

    UID
    34
    威望
    845 (点)
    主题
    6 (帖)
    精华
    0 (帖)
    贡献
    78  (次)
    墨币
    1559  (枚)
    活跃
    572  (点)
    担保币
    0  (枚)
    注册时间
    2015-6-15
    最后登录
    2018-6-8

    最佳新人推广达人灌水之王乐观达人音乐大师论坛帅哥

    发表于 2015-8-14 00:57:56 | 显示全部楼层
    新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

    如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

    发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

    如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    1、请认真发帖,禁止回复纯表情,纯数字等无意义的内容!帖子内容不要太简单!
    2、提倡文明上网,净化网络环境!抵制低俗不良违法有害信息。
    3、每个贴内连续回复请勿多余3贴,每个版面回复请勿多余10贴!
    4、如果你对主帖作者的帖子不屑一顾的话,请勿回帖。谢谢合作!

    关闭

    站长推荐上一条 /1 下一条