[求助]PE文件添加节写入可执行代码中LoadLibraryA失败-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼你系统的LoadLibraryA居然在ntdll的？ 2016-8-25 22:10 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 3 楼最好看LdrLoadDll的返回值, 这个更加准确 2016-8-25 22:38 0
无字成文雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	无字成文 4 楼 OD不是显示在Kernel32里吗 2016-8-25 23:08 0
无字成文雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	无字成文 5 楼直接调用LdrLoadDll吗？ 2016-8-25 23:10 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 6 楼随便丢个砖块，它转圈都会很溜！ 2016-8-26 01:12 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 7 楼你就不能跟进LoadLibraryA去看看? 2016-8-29 20:17 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 8 楼我只想说：你直接函数 BOOL InjectPE(CHAR* szFileName) 然后汇编代码 + 变量定义对吗？你定义的变量在壳运行时寻址是 [ebp - xxxx] 但是问题来了你的壳代码开辟堆栈变量了吗？（没有的！）你这种代码已经破坏掉堆栈数据了！加到 DLL 或驱动，100% 都死翘翘的！ exe可能会出不可预知的问题！去看看 http://bbs.pediy.com/showthread.php?t=173358 希望能对你有帮助！碰巧我最近还在更新这方面代码。哎！寻找 Kernel32.dll 基地址也是一团糟！没有任何的兼容性，尽然还想兼容 Win64 的！给你个思路：你把需要的壳代码编译进一个单独的节里面，反正你是往目标加一个节数据的，把整个壳节代码和壳需要的数据移植进去，然后你只要取得你壳入口的 RVA 并把原来入口的 RVA备份到你知道的地方让壳程序容易找到就行了！也许你现在还没有火候理解这样一个概念： “编译地址a - 运行地址a = 编译地址b - 运行地址b = 编译地址c - 运行地址c =......= 一个壳代码运行地址与壳代码的编译地址的差值（xx）” 想用 C 写壳代码理解它了，你就会觉得用C 写壳代码太轻松了啊！ 2016-8-29 21:31 0
无字成文雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	无字成文 9 楼感谢赐教，确实这份代码写的很乱，我也还在学习阶段。至于兼容win64确实也只是想想。。。 2016-8-29 21:54 0
无字成文雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	无字成文 10 楼 [QUOTE=linziqingl;1442964]我只想说：你直接函数 BOOL InjectPE(CHAR* szFileName) 然后汇编代码 + 变量定义对吗？你定义的变量在壳运行时寻址是 [ebp - xxxx] 但是问题来了你的壳代码开辟堆栈变量了吗？（没有的！）你这种代码已经破坏掉堆栈数据了！加到 DLL 或驱...[/QUOTE] 感谢解带，我去学习下您的代码。感谢您的回答，有问题再咨询你 2016-8-30 19:20 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 11 楼我曾经也是经过现在你的状态，因为曾经尝尽求学的痛苦和来之不易，过来人怜惜后来者，只要我懂的，你尽可以问！ 2016-8-30 19:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼你系统的LoadLibraryA居然在ntdll的？ 2016-8-25 22:10 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 3 楼最好看LdrLoadDll的返回值, 这个更加准确 2016-8-25 22:38 0
无字成文雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	无字成文 4 楼 OD不是显示在Kernel32里吗 2016-8-25 23:08 0
无字成文雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	无字成文 5 楼直接调用LdrLoadDll吗？ 2016-8-25 23:10 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 6 楼随便丢个砖块，它转圈都会很溜！ 2016-8-26 01:12 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 7 楼你就不能跟进LoadLibraryA去看看? 2016-8-29 20:17 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 8 楼我只想说：你直接函数 BOOL InjectPE(CHAR* szFileName) 然后汇编代码 + 变量定义对吗？你定义的变量在壳运行时寻址是 [ebp - xxxx] 但是问题来了你的壳代码开辟堆栈变量了吗？（没有的！）你这种代码已经破坏掉堆栈数据了！加到 DLL 或驱动，100% 都死翘翘的！ exe可能会出不可预知的问题！去看看 http://bbs.pediy.com/showthread.php?t=173358 希望能对你有帮助！碰巧我最近还在更新这方面代码。哎！寻找 Kernel32.dll 基地址也是一团糟！没有任何的兼容性，尽然还想兼容 Win64 的！给你个思路：你把需要的壳代码编译进一个单独的节里面，反正你是往目标加一个节数据的，把整个壳节代码和壳需要的数据移植进去，然后你只要取得你壳入口的 RVA 并把原来入口的 RVA备份到你知道的地方让壳程序容易找到就行了！也许你现在还没有火候理解这样一个概念： “编译地址a - 运行地址a = 编译地址b - 运行地址b = 编译地址c - 运行地址c =......= 一个壳代码运行地址与壳代码的编译地址的差值（xx）” 想用 C 写壳代码理解它了，你就会觉得用C 写壳代码太轻松了啊！ 2016-8-29 21:31 0
无字成文雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	无字成文 9 楼感谢赐教，确实这份代码写的很乱，我也还在学习阶段。至于兼容win64确实也只是想想。。。 2016-8-29 21:54 0
无字成文雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	无字成文 10 楼 [QUOTE=linziqingl;1442964]我只想说：你直接函数 BOOL InjectPE(CHAR* szFileName) 然后汇编代码 + 变量定义对吗？你定义的变量在壳运行时寻址是 [ebp - xxxx] 但是问题来了你的壳代码开辟堆栈变量了吗？（没有的！）你这种代码已经破坏掉堆栈数据了！加到 DLL 或驱...[/QUOTE] 感谢解带，我去学习下您的代码。感谢您的回答，有问题再咨询你 2016-8-30 19:20 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 11 楼我曾经也是经过现在你的状态，因为曾经尝尽求学的痛苦和来之不易，过来人怜惜后来者，只要我懂的，你尽可以问！ 2016-8-30 19:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复