某日，逆向一EXE（这里命名它为HH），发现内部使用了Rijndael-256，以及某个不知名的算法。
从网上找到N个相关AES算法的实现，结果密码表是一样了，但运行结果却怎么都不一样。
由于实在对AES头晕，再加上还有某个不知名的算法（内部流程复杂），所以考虑需要利用这个EXE的加解密实现。
可是EXE不是DLL，没有重定位表。不能像DLL一样Load一下，直接CALL就能用。
怎么办？把EXE当DLL使？修正重定位信息？网上找了找，基本是这个说法，但说法的后面，也明确指出：依然不足，修正重定位信息是件苦力活，还容易出错。
而且，N个地方需要重定位，这一路做下来，不吐血也脑溢血了。
考虑考虑怎么取巧吧。
思路：
　　首先，自己写的利用程序（这里命名它为CC）是可以设置有重定位信息的，所以可以让出EXE的默认加载位置。
　　把HH放在400000位置，嘿嘿，重定位不就省了？
。。。
说得容易，实现一下看看？指定CC加载到别处，设置重定位，MapViewOfFileEx把HH加载到0x400000。
报错？不行？不行！
什么错？目标位置已被使用，无法加载？！
OD看看，果然，让出来的茅坑让系统给用了。
再想：
　　由于茅坑让出来了，系统就认为是无主的，爱怎么用，用多少，咱管不到。
　　就算这个茅坑系统没有使用，万一HH屁股比较大，需要连坐N个坑，那就保不齐系统把后面坑占走，害HH屁股装不下了。。。
　　如何通知系统留着坑哩？
试着手工打造一个占坑PE。试来试去，不尽人意。
又想：
　　最好的办法是让HH自己占。
　　可是HH自己占坑就得运行，我们只想使用数据与代码，不想它运行起来。
　　于是需要改造HH入口。
　　由于HH入口承接着主线程，不能让它结束。正好，把主线程转移给CC。
　　用LoadLibrary加载CC。
　　LoadLibrary加载PE文件，找到PE入口，并把入口视作DLLMain，以DLL_PROCESS_ATTACH为参数调用之。
　　所以不管你是EXE还是DLL，入口总能得到运行。
　　如此，主线程将被交付CC。
试试呗。
实现CC，内部使用HH的绝对地址。当然，这样CC程序是不能独立运行的。
修改HH入口，指定加载CC。
不成功？CC无法加载。
其实是小问题，用LordPE把CC的Characteristics加上DLL标志。
再来，成功了！！！成功利用了HH内部数据与代码！！！

好，再分析一下细节：注意到可能CC与HH的子系统不同，所以需要统一子系统。
另外，如果HH加过壳，这个方法就不能直接使用了。虽然俺不大会脱，但总有牛人会脱，脱了壳再应用，一样一样的。

给出实现DEMO：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)