首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]关于移植win7版的计算器的问题 0.00雪花
发表于: 2009-7-16 12:37 2011

[旧帖] [求助]关于移植win7版的计算器的问题 0.00雪花

kemo 活跃值
2009-7-16 12:37
2011
这两天看到网上一直在说win7的计算器如何的赞 vista移植版的是早就出来了 但是xp由于dll文件相差太大迟迟没人移植 心里痒痒 想自己动手移植下
当然啦 看标题也知道我没有成功 我现在主要的想法是通过从vista提取的dll马甲进行劫持,然后使calc.exe得以运行
目前已经用资源工具干掉了24号资源(为了能让.local起作用),又在calc文件夹下面建立了空文件calc.exe.local(引导app读取自己文件夹里的dll),然后又从vista里提取了所需的dll 见下图(是用w32dasm加载calc探测到的要加载的dll文件)


除了ntdll无法劫持和gdiplus.dll找不到外 其余都扔到了calc的文件夹里
目前的情况是:打开修改后的calc.exe显示“无法定位程序输入点RtlExitUserProcess与动态链接库ntdll.dll”用dependency查看貌似是xp的ntdll缺少函数了。。但是不知道该如何解决,望高手们能帮忙,小弟不胜感激。

PS:目前好多资源都不对新人开放,很多东西都没法独立解决,如果bz能给个邀请码就更好了 谢谢

一下是vista里的dll以及修改完的calc.exe

calc.part01.rar

calc.part02.rar

calc.part03.rar

calc.part04.rar

calc.part05.rar

calc.part06.rar

calc.part07.rar

calc.part08.rar

calc.part09.rar

calc.part10.rar

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (12)
qsyqsy
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
不研究,不过我的虚拟机也用过vista,与XP的DLL一样吗?没问题的话看看未修改的CALE的入口点,有没有变动之类的。

错了不要怪我,猜想而已
2009-7-16 12:45
0
moonife
雪    币: 370
活跃值: (52)
能力值: ( LV13,RANK:350 )
在线值:
发帖
回帖
粉丝
私信
3
LZ 可以看下这个帖子
http://bbs.pediy.com/showthread.php?p=649394
2009-7-16 13:42
0
kemo
雪    币: 68
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
就是看过这个帖子了 问题1在于 如果单纯的rd原来的文件夹 然后xcopy win7的系统文件夹 那和自己复制黏贴有什么区别啊 而且基本上也就失去了移植的意义 而且由于更换了dll文件 可能会直接导致程序找不到输入点的吧(重启后能不能开机都是个问题。。。)
问题2在于 不知道怎么修改pe引入表 现在问题出在ntdll上面 表头文件里面并没有说会调用ntdll的“RtlExitUserProcess”所以比较迷茫。。。
2009-7-16 15:23
0
kemo
雪    币: 68
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
事实上是与xp的dll文件很不一样 虽然函数没多多少 但是函数的入口点都有出入 所以我没把他扔到system32里面 只是在外面重开了一个文件夹 放calc.exe以及放从vista提取出来的dll文件
关于马甲dll的教程参看的是这篇帖子http://bbs.pediy.com/showthread.php?p=466011&mode=threaded
2009-7-16 15:28
0
北极狐狸
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
6
你可以使用 depends walker 查找出所有的关联的有问题dll。把它们重win7中复制过来 修改dll文件名和导出表表中导出名。和你计算器放到一起。修改导入表中名称字符为你修改的文件名,ok。应该可以执行了。
2009-7-16 17:01
0
kemo
雪    币: 68
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
其实最先应该是先搜寻程序的目录。。。具体内容可以看看雪里的帖子 马甲dll http://bbs.pediy.com/showthread.php?p=466011&mode=threaded  有些dll因为是在注册表中knowdlls下存在 所以不会在当前文件夹搜索 但是通过用appname.local可以优先在程序所在文件夹进行搜索。。。其实就是不会修改导出表 和导入表 才用的这个办法。。
2009-7-16 17:38
0
北极狐狸
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
8
你是对的.....呵呵。
C:\WINDOWS\system32
下面应该有 NTDLL.dll
2009-7-17 12:38
0
kemo
雪    币: 68
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
现在就是被这个ntdll.dll卡住了这个dll文件是不能用.local的方法劫持的 所以这里面缺少的函数不知道用什么方法解决 说道修改dll的名称然后修改导出表和导入表请问用的是什么工具?我用exescope只能查看不能编辑。难道是ida?希望前辈给个方向。我对这方面的一些工具还不是很了解。。。(不然也不会到今天还在新手区混了。。)
2009-7-17 14:00
0
北极狐狸
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
10
loadPE

你把那个DLL 传上来,我玩玩..
2009-7-17 14:01
0
kemo
雪    币: 68
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
同学传我的那个win7的calc.exe是64位的文件移植起来更麻烦后来不小心被我删了。。。因为后来改的是vista移植版的 所以用的都是vista的资源 之前针对的问题指的是vista的ntdll一直忘了说了

这个是vista的ntdll ntdll.rar

不知道你用的是什么版本的系统 所以把xp的也传上来了 ntdll(xp).rar
上传的附件:
2009-7-17 15:03
0
北极狐狸
雪    币: 2368
活跃值: (81)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
12
没有win7 的ntdll 嘛?
2009-7-17 17:15
0
kemo
雪    币: 68
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
换了qq2009原来传的文件刚找到 这个是win7的ntdll
ntdll.rar
上传的附件:
2009-7-17 21:16
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//