[原创]Reload And Run 大法-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Reload And Run 大法

发表于: 2011-6-30 17:49 32087

[原创]Reload And Run 大法

zyhfut

2011-6-30 17:49

32087

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

ReloadAndRun.rar （284.27kb，845次下载）
TM截图未命名eeee.jpg （66.38kb，1663次下载）

收藏・55

免费・7

支持

最新回复 (40) 1 2 ▶
yy大雄雪币： 183 活跃值： (1198) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 2 楼对于一些有 TLS的就不行了吧 2011-6-30 17:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼楼上多虑了，这东西只是用于自己的xx，所以不会有任何兼容问题…… 2011-6-30 18:40 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 4 楼惊现某牛！！！ 2011-6-30 18:43 0
K4NG 雪币： 970 活跃值： (1249) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 141 粉丝 1 关注私信	K4NG 5 楼不说不知道，一说吓一跳..期待更多惊艳内幕 2011-6-30 21:30 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 6 楼这类程序在WIN 7有个最致命的问题：很多XP下的EXE并没有重定位表，因为加载的地址是固定的，一般是0x00400000。但在WIN 7下，在你程序运行的时候，0x00400000基本已经被占用了，比如用于FILEMAP或者HEAP。另外这个程序要跑MS的EXE文件问题还很多 2011-6-30 22:24 0
OnlyLoveMM 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	OnlyLoveMM 7 楼楼上的V5，同时膜拜教主。 2011-6-30 23:27 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 8 楼 PELoader ? 楼猪V5啊 2011-6-30 23:36 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 9 楼 1.重定位表我已经处理过了。加不加载在0x400000，问题不是很大吧。既然是reload，就不存在必须要映射到固定的地址。 2.这玩意只是为自己所用，还有一些简单、且重要的系统PE型文件。你懂得！至于复杂的应用程序，还需要更多处理。 2011-7-1 00:21 0
alargel 雪币： 219 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	alargel 10 楼学习学习,再学习...... 2011-7-1 16:58 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 11 楼很给力啊，一般PE都是内存映射方式加载的，这里应该也可以使用这种方式吧。另外，ReloadAndRun有哪些应用的场景？ 2011-7-2 13:23 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 12 楼 dll和sys这种需要loader的都可以…… 2011-7-2 17:28 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 13 楼对于dll，可以使用LoadLibrary/GetProcAddress去执行代码。我的意思是，有没有什么特殊的情况必须要用ReloadAndRun的。 2011-7-2 22:18 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 14 楼这东西本来就不是必须要用的啊，奇技淫巧而已~~ 2011-7-3 01:57 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 15 楼我想到一个应用的场景，因为LoadLibrary/GetProcAddress依赖于硬盘文件的（我不知道有没有方法运行一个内存中的文件），如果我们把一些dll或者exe文件绑定到另一个exe的资源中，这样就不必先把它们导出到硬盘上了，后者的EXE直接可以使用ReloadAndRun方法运行自己的资源，当然，代码需要有点修改，文件已经在内存了，省了前面的读取文件一步。 2011-7-3 10:46 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 16 楼楼上的直接搜索“从内存加载dll”就知道了～ 2011-7-3 11:36 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 17 楼是不是这种方法还能加载隐藏驱动的？要不教主写篇详细点的文章科普下，嘿嘿。 2011-7-3 11:54 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 18 楼这东西代码都有了啊，没什么好科普的，隐藏dll我发过代码，隐藏驱动也写过了…… 2011-7-3 12:03 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 19 楼有时间好好拜读去 2011-7-3 12:54 0
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 20 楼思路不错，感谢 2011-7-3 16:00 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 21 楼隐藏驱动的我也写了。前段时间已经发出来了，可惜没人注意。。悲剧 2011-7-3 18:42 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 22 楼才明白过来，这样做的目的是为了隐藏DLL模块。 2011-7-3 21:48 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 23 楼强大的思路 (～ o ～)~zZ 2011-7-3 22:15 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 24 楼唉~！！，方法出来了，又要被360干掉了 2011-7-3 23:23 0
gjden 雪币： 6790 活跃值： (4441) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 277 关注私信	gjden 14 25 楼这个算很老的技术了，不算什么新的吧！ 2011-7-3 23:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zyhfut

发帖

回帖

220

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
yy大雄雪币： 183 活跃值： (1198) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 2 楼对于一些有 TLS的就不行了吧 2011-6-30 17:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼楼上多虑了，这东西只是用于自己的xx，所以不会有任何兼容问题…… 2011-6-30 18:40 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 4 楼惊现某牛！！！ 2011-6-30 18:43 0
K4NG 雪币： 970 活跃值： (1249) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 141 粉丝 1 关注私信	K4NG 5 楼不说不知道，一说吓一跳..期待更多惊艳内幕 2011-6-30 21:30 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 6 楼这类程序在WIN 7有个最致命的问题：很多XP下的EXE并没有重定位表，因为加载的地址是固定的，一般是0x00400000。但在WIN 7下，在你程序运行的时候，0x00400000基本已经被占用了，比如用于FILEMAP或者HEAP。另外这个程序要跑MS的EXE文件问题还很多 2011-6-30 22:24 0
OnlyLoveMM 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	OnlyLoveMM 7 楼楼上的V5，同时膜拜教主。 2011-6-30 23:27 0
长风傲天雪币： 67 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 110 粉丝 3 关注私信	长风傲天 1 8 楼 PELoader ? 楼猪V5啊 2011-6-30 23:36 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 9 楼 1.重定位表我已经处理过了。加不加载在0x400000，问题不是很大吧。既然是reload，就不存在必须要映射到固定的地址。 2.这玩意只是为自己所用，还有一些简单、且重要的系统PE型文件。你懂得！至于复杂的应用程序，还需要更多处理。 2011-7-1 00:21 0
alargel 雪币： 219 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	alargel 10 楼学习学习,再学习...... 2011-7-1 16:58 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 11 楼很给力啊，一般PE都是内存映射方式加载的，这里应该也可以使用这种方式吧。另外，ReloadAndRun有哪些应用的场景？ 2011-7-2 13:23 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 12 楼 dll和sys这种需要loader的都可以…… 2011-7-2 17:28 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 13 楼对于dll，可以使用LoadLibrary/GetProcAddress去执行代码。我的意思是，有没有什么特殊的情况必须要用ReloadAndRun的。 2011-7-2 22:18 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 14 楼这东西本来就不是必须要用的啊，奇技淫巧而已~~ 2011-7-3 01:57 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 15 楼我想到一个应用的场景，因为LoadLibrary/GetProcAddress依赖于硬盘文件的（我不知道有没有方法运行一个内存中的文件），如果我们把一些dll或者exe文件绑定到另一个exe的资源中，这样就不必先把它们导出到硬盘上了，后者的EXE直接可以使用ReloadAndRun方法运行自己的资源，当然，代码需要有点修改，文件已经在内存了，省了前面的读取文件一步。 2011-7-3 10:46 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 16 楼楼上的直接搜索“从内存加载dll”就知道了～ 2011-7-3 11:36 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 17 楼是不是这种方法还能加载隐藏驱动的？要不教主写篇详细点的文章科普下，嘿嘿。 2011-7-3 11:54 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 18 楼这东西代码都有了啊，没什么好科普的，隐藏dll我发过代码，隐藏驱动也写过了…… 2011-7-3 12:03 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 19 楼有时间好好拜读去 2011-7-3 12:54 0
youstar 雪币： 267 活跃值： (24) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 284 粉丝 0 关注私信	youstar 2 20 楼思路不错，感谢 2011-7-3 16:00 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 21 楼隐藏驱动的我也写了。前段时间已经发出来了，可惜没人注意。。悲剧 2011-7-3 18:42 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 22 楼才明白过来，这样做的目的是为了隐藏DLL模块。 2011-7-3 21:48 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 23 楼强大的思路 (～ o ～)~zZ 2011-7-3 22:15 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 24 楼唉~！！，方法出来了，又要被360干掉了 2011-7-3 23:23 0
gjden 雪币： 6790 活跃值： (4441) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 277 关注私信	gjden 14 25 楼这个算很老的技术了，不算什么新的吧！ 2011-7-3 23:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复