首页
社区
课程
招聘
[原创]Reload And Run 大法
发表于: 2011-6-30 17:49 32133

[原创]Reload And Run 大法

2011-6-30 17:49
32133
收藏
免费 7
支持
分享
最新回复 (40)
雪    币: 183
活跃值: (1289)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
对于一些 有 TLS的就不行了吧
2011-6-30 17:58
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
3
楼上多虑了,这东西只是用于自己的xx,所以不会有任何兼容问题……
2011-6-30 18:40
0
雪    币: 410
活跃值: (214)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
4
惊现某牛!!!
2011-6-30 18:43
0
雪    币: 970
活跃值: (1324)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
不说不知道,一说吓一跳..期待更多惊艳内幕
2011-6-30 21:30
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
6
这类程序在WIN 7有个最致命的问题:
很多XP下的EXE并没有重定位表,因为加载的地址是固定的,一般是0x00400000。但在WIN 7下,在你程序运行的时候,0x00400000基本已经被占用了,比如用于FILEMAP或者HEAP。

另外这个程序要跑MS的EXE文件问题还很多
2011-6-30 22:24
0
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
楼上的V5,同时膜拜教主。
2011-6-30 23:27
0
雪    币: 67
活跃值: (91)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
8
PELoader ? 楼猪V5啊
2011-6-30 23:36
0
雪    币: 410
活跃值: (214)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
9
1.重定位表我已经处理过了。加不加载在0x400000,问题不是很大吧。既然是reload,就不存在必须要映射到固定的地址。

2.这玩意只是为自己所用,还有一些简单、且重要的系统PE型文件。你懂得!至于复杂的应用程序,还需要更多处理。
2011-7-1 00:21
0
雪    币: 219
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
学习学习,再学习......
2011-7-1 16:58
0
雪    币: 113
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
很给力啊,一般PE都是内存映射方式加载的,这里应该也可以使用这种方式吧。
另外,ReloadAndRun有哪些应用的场景?
2011-7-2 13:23
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
12
dll和sys这种需要loader的都可以……
2011-7-2 17:28
0
雪    币: 113
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
对于dll,可以使用LoadLibrary/GetProcAddress去执行代码。我的意思是,有没有什么特殊的情况必须要用ReloadAndRun的。
2011-7-2 22:18
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
14
这东西本来就不是必须要用的啊,奇技淫巧而已~~
2011-7-3 01:57
0
雪    币: 113
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
15
我想到一个应用的场景,因为LoadLibrary/GetProcAddress依赖于硬盘文件的(我不知道有没有方法运行一个内存中的文件),如果我们把一些dll或者exe文件绑定到另一个exe的资源中,这样就不必先把它们导出到硬盘上了,后者的EXE直接可以使用ReloadAndRun方法运行自己的资源,当然,代码需要有点修改,文件已经在内存了,省了前面的读取文件一步。
2011-7-3 10:46
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
16
楼上的直接搜索“从内存加载dll”就知道了~
2011-7-3 11:36
0
雪    币: 2397
活跃值: (2310)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
17
是不是这种方法还能加载隐藏驱动的?
要不教主写篇详细点的文章科普下, 嘿嘿。
2011-7-3 11:54
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
18
这东西代码都有了啊,没什么好科普的,隐藏dll我发过代码,隐藏驱动也写过了……
2011-7-3 12:03
0
雪    币: 2397
活跃值: (2310)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
19
有时间好好拜读去
2011-7-3 12:54
0
雪    币: 267
活跃值: (24)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
20
思路不错,感谢
2011-7-3 16:00
0
雪    币: 410
活跃值: (214)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
21
隐藏驱动的我也写了。前段时间已经发出来了,可惜没人注意。。悲剧
2011-7-3 18:42
0
雪    币: 113
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
22
才明白过来,这样做的目的是为了隐藏DLL模块。
2011-7-3 21:48
0
雪    币: 220
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
强大的思路 (~ o ~)~zZ
2011-7-3 22:15
0
雪    币: 445
活跃值: (52)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
24
唉~!!,方法出来了,又要被360干掉了
2011-7-3 23:23
0
雪    币: 6797
活跃值: (4451)
能力值: (RANK:600 )
在线值:
发帖
回帖
粉丝
25
这个算很老的技术了,不算什么新的吧!
2011-7-3 23:39
0
游客
登录 | 注册 方可回帖
返回
//