[求助]关于移植win7版的计算器的问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]关于移植win7版的计算器的问题 0.00雪花

发表于: 2009-7-16 12:37 2056

[旧帖] [求助]关于移植win7版的计算器的问题 0.00雪花

kemo

2009-7-16 12:37

2056

这两天看到网上一直在说win7的计算器如何的赞 vista移植版的是早就出来了但是xp由于dll文件相差太大迟迟没人移植心里痒痒想自己动手移植下
当然啦看标题也知道我没有成功我现在主要的想法是通过从vista提取的dll马甲进行劫持，然后使calc.exe得以运行
目前已经用资源工具干掉了24号资源（为了能让.local起作用），又在calc文件夹下面建立了空文件calc.exe.local（引导app读取自己文件夹里的dll），然后又从vista里提取了所需的dll 见下图（是用w32dasm加载calc探测到的要加载的dll文件）

除了ntdll无法劫持和gdiplus.dll找不到外其余都扔到了calc的文件夹里
目前的情况是：打开修改后的calc.exe显示“无法定位程序输入点RtlExitUserProcess与动态链接库ntdll.dll”用dependency查看貌似是xp的ntdll缺少函数了。。但是不知道该如何解决，望高手们能帮忙，小弟不胜感激。

PS：目前好多资源都不对新人开放，很多东西都没法独立解决，如果bz能给个邀请码就更好了谢谢

一下是vista里的dll以及修改完的calc.exe

calc.part01.rar

calc.part02.rar

calc.part03.rar

calc.part04.rar

calc.part05.rar

calc.part06.rar

calc.part07.rar

calc.part08.rar

calc.part09.rar

calc.part10.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

calc.part01.rar （800.00kb，3次下载）
calc.part02.rar （800.00kb，4次下载）
calc.part03.rar （800.00kb，4次下载）
calc.part04.rar （800.00kb，5次下载）
calc.part05.rar （800.00kb，8次下载）
calc.part06.rar （800.00kb，4次下载）
calc.part07.rar （800.00kb，4次下载）
calc.part08.rar （800.00kb，4次下载）
calc.part09.rar （800.00kb，5次下载）
calc.part10.rar （318.19kb，4次下载）
calcdll.jpg （28.64kb，93次下载）

收藏・0

免费・0

支持

最新回复 (12)
qsyqsy 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 685 粉丝 0 关注私信	qsyqsy 2 楼不研究，不过我的虚拟机也用过vista，与XP的DLL一样吗？没问题的话看看未修改的CALE的入口点，有没有变动之类的。错了不要怪我，猜想而已 2009-7-16 12:45 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 3 楼 LZ 可以看下这个帖子 http://bbs.pediy.com/showthread.php?p=649394 2009-7-16 13:42 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 4 楼就是看过这个帖子了问题1在于如果单纯的rd原来的文件夹然后xcopy win7的系统文件夹那和自己复制黏贴有什么区别啊而且基本上也就失去了移植的意义而且由于更换了dll文件可能会直接导致程序找不到输入点的吧（重启后能不能开机都是个问题。。。）问题2在于不知道怎么修改pe引入表现在问题出在ntdll上面表头文件里面并没有说会调用ntdll的“RtlExitUserProcess”所以比较迷茫。。。 2009-7-16 15:23 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 5 楼事实上是与xp的dll文件很不一样虽然函数没多多少但是函数的入口点都有出入所以我没把他扔到system32里面只是在外面重开了一个文件夹放calc.exe以及放从vista提取出来的dll文件关于马甲dll的教程参看的是这篇帖子http://bbs.pediy.com/showthread.php?p=466011&mode=threaded 2009-7-16 15:28 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼你可以使用 depends walker 查找出所有的关联的有问题dll。把它们重win7中复制过来修改dll文件名和导出表表中导出名。和你计算器放到一起。修改导入表中名称字符为你修改的文件名，ok。应该可以执行了。 2009-7-16 17:01 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 7 楼其实最先应该是先搜寻程序的目录。。。具体内容可以看看雪里的帖子马甲dll http://bbs.pediy.com/showthread.php?p=466011&mode=threaded 有些dll因为是在注册表中knowdlls下存在所以不会在当前文件夹搜索但是通过用appname.local可以优先在程序所在文件夹进行搜索。。。其实就是不会修改导出表和导入表才用的这个办法。。 2009-7-16 17:38 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 8 楼你是对的.....呵呵。 C:\WINDOWS\system32 下面应该有 NTDLL.dll 2009-7-17 12:38 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 9 楼现在就是被这个ntdll.dll卡住了这个dll文件是不能用.local的方法劫持的所以这里面缺少的函数不知道用什么方法解决说道修改dll的名称然后修改导出表和导入表请问用的是什么工具？我用exescope只能查看不能编辑。难道是ida？希望前辈给个方向。我对这方面的一些工具还不是很了解。。。（不然也不会到今天还在新手区混了。。） 2009-7-17 14:00 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 10 楼 loadPE 你把那个DLL 传上来，我玩玩.. 2009-7-17 14:01 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 11 楼同学传我的那个win7的calc.exe是64位的文件移植起来更麻烦后来不小心被我删了。。。因为后来改的是vista移植版的所以用的都是vista的资源之前针对的问题指的是vista的ntdll一直忘了说了这个是vista的ntdll ntdll.rar 不知道你用的是什么版本的系统所以把xp的也传上来了 ntdll（xp）.rar 上传的附件： ntdll.rar （441.30kb，3次下载） ntdll（xp）.rar （275.08kb，4次下载） 2009-7-17 15:03 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 12 楼没有win7 的ntdll 嘛？ 2009-7-17 17:15 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 13 楼换了qq2009原来传的文件刚找到这个是win7的ntdll ntdll.rar 上传的附件： ntdll.rar （485.28kb，2次下载） 2009-7-17 21:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kemo

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
qsyqsy 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 685 粉丝 0 关注私信	qsyqsy 2 楼不研究，不过我的虚拟机也用过vista，与XP的DLL一样吗？没问题的话看看未修改的CALE的入口点，有没有变动之类的。错了不要怪我，猜想而已 2009-7-16 12:45 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 3 楼 LZ 可以看下这个帖子 http://bbs.pediy.com/showthread.php?p=649394 2009-7-16 13:42 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 4 楼就是看过这个帖子了问题1在于如果单纯的rd原来的文件夹然后xcopy win7的系统文件夹那和自己复制黏贴有什么区别啊而且基本上也就失去了移植的意义而且由于更换了dll文件可能会直接导致程序找不到输入点的吧（重启后能不能开机都是个问题。。。）问题2在于不知道怎么修改pe引入表现在问题出在ntdll上面表头文件里面并没有说会调用ntdll的“RtlExitUserProcess”所以比较迷茫。。。 2009-7-16 15:23 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 5 楼事实上是与xp的dll文件很不一样虽然函数没多多少但是函数的入口点都有出入所以我没把他扔到system32里面只是在外面重开了一个文件夹放calc.exe以及放从vista提取出来的dll文件关于马甲dll的教程参看的是这篇帖子http://bbs.pediy.com/showthread.php?p=466011&mode=threaded 2009-7-16 15:28 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 6 楼你可以使用 depends walker 查找出所有的关联的有问题dll。把它们重win7中复制过来修改dll文件名和导出表表中导出名。和你计算器放到一起。修改导入表中名称字符为你修改的文件名，ok。应该可以执行了。 2009-7-16 17:01 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 7 楼其实最先应该是先搜寻程序的目录。。。具体内容可以看看雪里的帖子马甲dll http://bbs.pediy.com/showthread.php?p=466011&mode=threaded 有些dll因为是在注册表中knowdlls下存在所以不会在当前文件夹搜索但是通过用appname.local可以优先在程序所在文件夹进行搜索。。。其实就是不会修改导出表和导入表才用的这个办法。。 2009-7-16 17:38 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 8 楼你是对的.....呵呵。 C:\WINDOWS\system32 下面应该有 NTDLL.dll 2009-7-17 12:38 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 9 楼现在就是被这个ntdll.dll卡住了这个dll文件是不能用.local的方法劫持的所以这里面缺少的函数不知道用什么方法解决说道修改dll的名称然后修改导出表和导入表请问用的是什么工具？我用exescope只能查看不能编辑。难道是ida？希望前辈给个方向。我对这方面的一些工具还不是很了解。。。（不然也不会到今天还在新手区混了。。） 2009-7-17 14:00 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 10 楼 loadPE 你把那个DLL 传上来，我玩玩.. 2009-7-17 14:01 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 11 楼同学传我的那个win7的calc.exe是64位的文件移植起来更麻烦后来不小心被我删了。。。因为后来改的是vista移植版的所以用的都是vista的资源之前针对的问题指的是vista的ntdll一直忘了说了这个是vista的ntdll ntdll.rar 不知道你用的是什么版本的系统所以把xp的也传上来了 ntdll（xp）.rar 上传的附件： ntdll.rar （441.30kb，3次下载） ntdll（xp）.rar （275.08kb，4次下载） 2009-7-17 15:03 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 12 楼没有win7 的ntdll 嘛？ 2009-7-17 17:15 0
kemo 雪币： 68 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	kemo 13 楼换了qq2009原来传的文件刚找到这个是win7的ntdll ntdll.rar 上传的附件： ntdll.rar （485.28kb，2次下载） 2009-7-17 21:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复