[原创]例说Exe程序作为DLL进行加载-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]例说Exe程序作为DLL进行加载

发表于: 2008-7-17 23:05 34479

[原创]例说Exe程序作为DLL进行加载

nbw

2008-7-17 23:05

34479

查看主题内容

收藏・72

免费・7

支持

最新回复 (63) ◀ 1 2 3 ▶
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 26 楼是啊是啊。还是自己有Reloc好，比如要调2个exe，如果让他们用4xxx就有些冲突了，虽然可以来回复制过去，但还有一些时候，根本就不可能把4xxx空间让出来。 2008-7-22 10:04 0
felixmia 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	felixmia 27 楼喔! 又有东西要学习..... 2008-7-22 18:45 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 28 楼原来可以这样，学习。。。 2008-7-22 20:01 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 29 楼调两个exe而不需要重定位也是有办法实现的 2008-7-22 23:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 30 楼把400000留给第三方exe也只是举个例子,大家思路可以深一点, 自己的主程序也是可以有重定位的,即使先占据了第三方exe的默认空间, 也可以把自己再加载一次到其他空间去执行,然后再把第三方exe加载到他需要的位置能完美增加reloc固然是好,问题是谁能写出来这样完美的工具? 2008-7-23 10:23 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 31 楼学习学习,很实用的一个技术啊,哈 2008-7-23 10:44 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 32 楼你说的这种完美工具，思路我倒有，主要方法是把我说的那个老罗代码修改的东西再完善下，把需要定位的地址都给找到，然后以调试方式启动程序，对这些指针指向的内容进行监控，如果程序执行过程中对这些可疑地址进行调用了，那么这个地址基本就应该需要重定位，即使这个地方找错了，要找出来问题也很简单。关键是有些人根本就不考虑思路深浅，总觉得你搞得这东西对劳资不管用，或者你这东西劳资随便就能搞定，总之一句话“劳资看你不爽” 2008-7-23 12:10 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 33 楼想在exe中完美增加reloc，这是没戏的了。或者可以考虑虚拟地址映射机制例如a.exe,b.exe的默认基地址都是0x400000，而实际分别是0x1000000,0x2000000 那么是否能这个过程中加一个我们自己实现的地址映射层，让exe以为自己还是在默认基地址上执行。楼下的继续发挥~~ 2008-7-23 12:48 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 34 楼他们只重结果，不重思路不重过程，不理就是了。 2008-7-23 12:53 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 35 楼 sustain ccfer,非通用工具意味着得针对每个exe都做分析. 还有,其实楼上们跑题了 2008-7-23 12:58 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 36 楼想起来了牛人写的虚拟机，严重怀念~ 2008-7-23 13:10 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 37 楼将要调用的EXE的原IMG BASE + IMG SIZE的区域改成 PAGE_EXECUTE 注册一个SEH，读写异常产生时，检查EIP是否在新IMG BASE + IMG SIZE范围内，是则重定向代码。否则，设置TF，恢复页属性，跑过这条指令重新设置PAGE_EXECUTE 这样貌似就不需要具体分析也可以顺利跑了？我喜欢技术讨论，觉得可以学到很多东西。虽然大家都知道有敌意的人肯定不会跟你说具体技术，不过真讨论起来的时候，难免伤感情。在KINGSOFT的时候就跟LOVEBOOM“讨论”过几次，不过“讨论”的第二天一起吃午饭的时候，他跟我说某些话别放心上。尽管我真的认为是讨论，但是他已经觉得是“争吵”了。这个时候我知道我肯定在讨论的过程中，用词或者语气出问题了。我一直都在尝试改，不过今天早上上班的又被某人提醒了一下。我想大家也跟我一样，心思都放技术上，要使自己言行变得更友善不容易。不过我很肯定大家都是没恶意的 2008-7-24 01:10 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 38 楼你没考虑到以下情况 1.错误的代码读了有效地址 2.push 40xxxxx call mscvrt.strlen EIP 这下管不着了还可以举例出很多其实这种方法很难实现完美,也只能不停的对新的EXE不停的修修补补自己的代码.维护工作量太大.nbw能做到这个地步算是极致了吧。假如2个程序都用到了同1个API，不知道返回地址怎么写才好呢 2008-7-24 01:25 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 39 楼将要调用的EXE的原IMG BASE + IMG SIZE的区域改成 PAGE_EXECUTE 所以即使是有效地址也可以抛异常。。。 2.push 40xxxxx call mscvrt.strlen 这个依然可以抛异常，要保证第一时间接收到异常，而不是被RTL接收到，貌似可以选择用VEH？再加条规则吧，系统区域遇到这样的异常就模拟执行，不改代码了。。。不过还真的变虚拟机了。。。 2008-7-24 01:39 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 40 楼正所谓一山不容二虎，有时越用奇技淫巧去实现，却越有可能出现更多的问题。就好像要达到一个目的有多条路可走，有的路可能需要劈材砍木，遭虎遇狼，有的路却是康庄大道。我觉得北极熊2008说的思路其实不是思路，而是奇技淫巧。 2008-7-24 01:50 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 41 楼给个例子讨论才有意思 http://bbs.pediy.com/showthread.php?t=66386 编译一下这个帖子的附件里面的代码有信心完美添加reloc的可以讨论一下如何添加这个程序的重定位表我编译了2份，带重定位表和不带重定位表，做个对比上传的附件： Test_reloc.rar （200.25kb，49次下载） 2008-7-24 10:06 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 42 楼汗一把，严重抗议楼上的给我胡乱给名，还这么丑~~ 思路也好，奇技淫巧也罢。当我没说，你们继续，我闪人。 2008-7-24 10:25 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 43 楼你的话，跟领导说的一样，搞得太复杂，一是开发周期太长，二是维护太难，出错太容易不过因为种种原因，虚拟机已经有了，顺便用是没问题的~~~ 技术积累很重要 2008-7-24 12:17 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 44 楼有种想法. OD超会分析的. 是否可修改OD让他边分析边建 .reloc 2008-7-24 12:19 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 45 楼 [QUOTE=海风月影;485834]给个例子讨论才有意思 http://bbs.pediy.com/showthread.php?t=66386 编译一下这个帖子的附件里面的代码有信心完美添加reloc的可以讨论一下如何添加这个程序的重定位表我编译了2份，带重定位表和不带重定位表，做个对比[/QUOTE] 我就看到有人把马甲身份给暴露了 2008-7-24 12:43 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 46 楼 bughoho最近在学成语啊 2008-7-24 13:29 0
Mike1234567890 雪币： 405 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 112 粉丝 0 关注私信	Mike1234567890 47 楼不管怎么样这个思路确实不错 2008-7-25 13:28 0
dzgz 雪币： 209 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	dzgz 48 楼太麻烦了.学习! 2008-7-25 19:34 0
chuangwai 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	chuangwai 49 楼这个要好好学习下 2008-7-29 21:03 0
WINIO 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	WINIO 50 楼加上脱壳功能，然后处理 2008-7-30 10:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nbw

141

发帖

2842

回帖

970

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (63) ◀ 1 2 3 ▶
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 26 楼是啊是啊。还是自己有Reloc好，比如要调2个exe，如果让他们用4xxx就有些冲突了，虽然可以来回复制过去，但还有一些时候，根本就不可能把4xxx空间让出来。 2008-7-22 10:04 0
felixmia 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	felixmia 27 楼喔! 又有东西要学习..... 2008-7-22 18:45 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 28 楼原来可以这样，学习。。。 2008-7-22 20:01 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 29 楼调两个exe而不需要重定位也是有办法实现的 2008-7-22 23:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 30 楼把400000留给第三方exe也只是举个例子,大家思路可以深一点, 自己的主程序也是可以有重定位的,即使先占据了第三方exe的默认空间, 也可以把自己再加载一次到其他空间去执行,然后再把第三方exe加载到他需要的位置能完美增加reloc固然是好,问题是谁能写出来这样完美的工具? 2008-7-23 10:23 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 31 楼学习学习,很实用的一个技术啊,哈 2008-7-23 10:44 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 32 楼你说的这种完美工具，思路我倒有，主要方法是把我说的那个老罗代码修改的东西再完善下，把需要定位的地址都给找到，然后以调试方式启动程序，对这些指针指向的内容进行监控，如果程序执行过程中对这些可疑地址进行调用了，那么这个地址基本就应该需要重定位，即使这个地方找错了，要找出来问题也很简单。关键是有些人根本就不考虑思路深浅，总觉得你搞得这东西对劳资不管用，或者你这东西劳资随便就能搞定，总之一句话“劳资看你不爽” 2008-7-23 12:10 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 33 楼想在exe中完美增加reloc，这是没戏的了。或者可以考虑虚拟地址映射机制例如a.exe,b.exe的默认基地址都是0x400000，而实际分别是0x1000000,0x2000000 那么是否能这个过程中加一个我们自己实现的地址映射层，让exe以为自己还是在默认基地址上执行。楼下的继续发挥~~ 2008-7-23 12:48 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 34 楼他们只重结果，不重思路不重过程，不理就是了。 2008-7-23 12:53 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 35 楼 sustain ccfer,非通用工具意味着得针对每个exe都做分析. 还有,其实楼上们跑题了 2008-7-23 12:58 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 36 楼想起来了牛人写的虚拟机，严重怀念~ 2008-7-23 13:10 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 37 楼将要调用的EXE的原IMG BASE + IMG SIZE的区域改成 PAGE_EXECUTE 注册一个SEH，读写异常产生时，检查EIP是否在新IMG BASE + IMG SIZE范围内，是则重定向代码。否则，设置TF，恢复页属性，跑过这条指令重新设置PAGE_EXECUTE 这样貌似就不需要具体分析也可以顺利跑了？我喜欢技术讨论，觉得可以学到很多东西。虽然大家都知道有敌意的人肯定不会跟你说具体技术，不过真讨论起来的时候，难免伤感情。在KINGSOFT的时候就跟LOVEBOOM“讨论”过几次，不过“讨论”的第二天一起吃午饭的时候，他跟我说某些话别放心上。尽管我真的认为是讨论，但是他已经觉得是“争吵”了。这个时候我知道我肯定在讨论的过程中，用词或者语气出问题了。我一直都在尝试改，不过今天早上上班的又被某人提醒了一下。我想大家也跟我一样，心思都放技术上，要使自己言行变得更友善不容易。不过我很肯定大家都是没恶意的 2008-7-24 01:10 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 38 楼你没考虑到以下情况 1.错误的代码读了有效地址 2.push 40xxxxx call mscvrt.strlen EIP 这下管不着了还可以举例出很多其实这种方法很难实现完美,也只能不停的对新的EXE不停的修修补补自己的代码.维护工作量太大.nbw能做到这个地步算是极致了吧。假如2个程序都用到了同1个API，不知道返回地址怎么写才好呢 2008-7-24 01:25 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 39 楼将要调用的EXE的原IMG BASE + IMG SIZE的区域改成 PAGE_EXECUTE 所以即使是有效地址也可以抛异常。。。 2.push 40xxxxx call mscvrt.strlen 这个依然可以抛异常，要保证第一时间接收到异常，而不是被RTL接收到，貌似可以选择用VEH？再加条规则吧，系统区域遇到这样的异常就模拟执行，不改代码了。。。不过还真的变虚拟机了。。。 2008-7-24 01:39 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 40 楼正所谓一山不容二虎，有时越用奇技淫巧去实现，却越有可能出现更多的问题。就好像要达到一个目的有多条路可走，有的路可能需要劈材砍木，遭虎遇狼，有的路却是康庄大道。我觉得北极熊2008说的思路其实不是思路，而是奇技淫巧。 2008-7-24 01:50 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 41 楼给个例子讨论才有意思 http://bbs.pediy.com/showthread.php?t=66386 编译一下这个帖子的附件里面的代码有信心完美添加reloc的可以讨论一下如何添加这个程序的重定位表我编译了2份，带重定位表和不带重定位表，做个对比上传的附件： Test_reloc.rar （200.25kb，49次下载） 2008-7-24 10:06 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 42 楼汗一把，严重抗议楼上的给我胡乱给名，还这么丑~~ 思路也好，奇技淫巧也罢。当我没说，你们继续，我闪人。 2008-7-24 10:25 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 43 楼你的话，跟领导说的一样，搞得太复杂，一是开发周期太长，二是维护太难，出错太容易不过因为种种原因，虚拟机已经有了，顺便用是没问题的~~~ 技术积累很重要 2008-7-24 12:17 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 44 楼有种想法. OD超会分析的. 是否可修改OD让他边分析边建 .reloc 2008-7-24 12:19 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 45 楼 [QUOTE=海风月影;485834]给个例子讨论才有意思 http://bbs.pediy.com/showthread.php?t=66386 编译一下这个帖子的附件里面的代码有信心完美添加reloc的可以讨论一下如何添加这个程序的重定位表我编译了2份，带重定位表和不带重定位表，做个对比[/QUOTE] 我就看到有人把马甲身份给暴露了 2008-7-24 12:43 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 46 楼 bughoho最近在学成语啊 2008-7-24 13:29 0
Mike1234567890 雪币： 405 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 112 粉丝 0 关注私信	Mike1234567890 47 楼不管怎么样这个思路确实不错 2008-7-25 13:28 0
dzgz 雪币： 209 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	dzgz 48 楼太麻烦了.学习! 2008-7-25 19:34 0
chuangwai 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	chuangwai 49 楼这个要好好学习下 2008-7-29 21:03 0
WINIO 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	WINIO 50 楼加上脱壳功能，然后处理 2008-7-30 10:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复