gkend
2006-10-23, 21:16:45
把ollydbg.exe作为DLL加载并不奇怪,ollydbg.exe本来就可以作DLL,所有的ollydbg插件都是把它作DLL加载的。有些人把olldbg.exe改为其它文件名,但是仍然必须保留ollydbg.exe本身,否则大部分插件就不能正常工作。所以利用枚举进程模块,不管你怎么修改ollydbg.exe文件名,仍然能在模块中找到ollydbg.exe.
如果能把任意EXE文件作DLL加载,那才值得称道!
Isaiah
2006-10-23, 21:18:17
需要重定位
鸡蛋壳
2006-10-23, 21:42:53
最初由 gkend 发布
把ollydbg.exe作为DLL加载并不奇怪,ollydbg.exe本来就可以作DLL,所有的ollydbg插件都是把它作DLL加载的。有些人把olldbg.exe改为其它文件名,但是仍然必须保留ollydbg.exe本身,否则大部分插件就不能正常工作。所以利用枚举进程模块,不管你怎么修改ollydbg.exe文件名,仍然能在模块中找到ollydbg.exe.
如果能把任意EXE文件作DLL加载,那才值得称道!
还是有点东西的,自己研究就知道了,做成通用的有见过的,不过那个等于没有什么意义了,是替换原有进程景象,相当于原来的进程内容被抹掉,意义就不大了。
foxabu
2006-10-23, 21:45:08
exe 是可以有重定位表的
Isaiah
2006-10-23, 22:26:18
gkend不是鸡蛋的马甲?
gkend
2006-10-24, 00:17:24
EXE作为DLL加载大致流程:
push xxxxx //指向EXE文件名
call LoadLibraryA
mov esi,eax
or eax,eax
jnz @f
jmp ExitThread
@@:
mov ebx,[esi+03ch]
add ebx,eax
mov ecx,[ebx+28h] //EP
add eax,ecx //EP+基址
mov edx,[ebx+34h] //imagebase
mov edi,[ebx+0a0h] //relocation table address
add edi,esi
mov ecx,[ebx+0a4h] //size
处理重定位:
pushad
@@:
mov ebx,[edi]
mov eax,[edi+4]
add ebx,esi
add eax,edi
add edi,8
rep1:
xor ecx,ecx
mov cx,[edi]
mov bp,cx
add edi,2
and cx,0fffh
and bp,0f000h
cmp bp,03000h
jnz rep2
add ecx,ebx
mov ebp,[ecx]
sub ebp,edx
add ebp,esi
mov [ecx],ebp
rep2:
cmp edi,eax
jb rep1
cmp dword ptr [edi],0
jnz @b
popad
//此处可以加入你要patch的地址和代码,如ExitProcess,GetModuleHandle修补代码
...
jmp eax //到EP执行,eax等于EP
heXer
2006-10-24, 09:07:08
没测试过的代码吧
snowshow
2006-10-24, 09:28:17
哎,不就是想PK飞狐吗
鸡蛋壳
2006-10-24, 09:31:35
最初由 gkend 发布
EXE作为DLL加载大致流程:
push xxxxx //指向EXE文件名
call LoadLibraryA
mov esi,eax
or eax,eax
........
最好是做个成品,我开始思路跟这个差不多。
gkend
2006-10-24, 12:40:45
前面一位说需要处理重定位,我只发了重定位处理代码。注意:重定位处理前,还要修改所有区段属性为可写否则写入时会异常。
当然还要处理Import Table,最后才能jmp EP.
liuyilin
2006-10-24, 12:56:53
强烈要求大虾gkend弄个成品使用
谢
ljtt
2006-10-24, 21:03:26
如果仅仅是想实现把一个EXE当DLL来加载,你所要做的工作仅仅是判断这是否是一个“合乎标准”的EXE文件就行。
至于加载Reloc/Import/..等等这些工作本身就是系统的任务,你没必要代劳。而且系统会自己做得很好。这和“壳”
不太一样。
如果你想实现模拟这个加载过程,也就是说,想把EXE当数据放入内存并模拟其加载过程,并让他能够象独立运行时
一样的结果,则要麻烦的多。而且如果想做得比较完善,那么要考虑的问题还不少。
除了要模拟系统所做的加载Reloc/Import/Tls/DelayImport等等工作之外,可能你还需要Hook一些API,达到模拟出
一个与EXE真正运行时一模一样的“进程环境”。
比如Hook象OpenProcess/WriteProcessMemory/ReadProcessMemory这些API,一旦进程想打开自身,想修改自身某处
代码时,你必须让他去修改EXE数据空间的内容,而不是去修改模拟环境的某段代码。因为你现在模拟加载时,EXE
是没有独立的进程空间的,它只是占有一段数据空间,其进程空间是与模拟环境自身共用一个进程环境的。
还有更麻烦的问题,比如比如GetModuleHandle(NULL)时,正常情况下应该返回一个“句柄”,但同时这个“句柄”
也可以作为进程首地址使用,这种双重作为导致即使Hook了这个API,处理起来也麻烦,而且可能还需要再HOOK
一堆与此问题相关的API。
gkend
2006-10-24, 21:24:05
最初由 ljtt 发布
如果仅仅是想实现把一个EXE当DLL来加载,你所要做的工作仅仅是判断这是否是一个“合乎标准”的EXE文件就行。
至于加载Reloc/Import/..等等这些工作本身就是系统的任务,你没必要代劳。而且系统会自己做得很好。这和“壳”
不太一样。
如果你想实现模拟这个加载过程,也就是说,想把EXE当数据放入内存并模拟其加载过程,并让他能够象独立运行时
........
我不知道你用的是什么系统?win2k.sp4用LoadLibraryA加载后,根本就不处理重定位和引入表,必须自己处理重定位和引入表。
所以shoooo提供的方法有局限性(他本人却不知道有的win系统不能用,难怪代码那么简单),他提供的源代码根本就没有处理重定位和引入表,所以你没有看见很多人非法操作?
ljtt
2006-10-24, 22:02:26
我用的是XP,你说的情况不知道LoadLibraryA返回的结果如何?如果结果失败没有处理重定位表和引入表很正常,如果结果成功,也没有处理这些则不太正常,即使EXE当DLL加载,也有处理这些的可能。要不你发个这样的程序给我看看,我看看是否我的系统上也是这种情况。
mailto: ljtt@yeah.net
heXer
2006-10-24, 23:15:45
shoooo的ollydbg.exe是修改过的了,已经是dll属性了,自然可以直接LoadLibraryA成功,并由系统自动处理重定位表和引入表
一个普通exe未经任何处理直接LoadLibraryA,当然需要一些额外工作了
girl
2006-10-25, 00:00:40
没看到exe当dll加载有什么价值:confused:
gkend
2006-10-25, 08:12:31
最初由 heXer 发布
shoooo的ollydbg.exe是修改过的了,已经是dll属性了,自然可以直接LoadLibraryA成功,并由系统自动处理重定位表和引入表
一个普通exe未经任何处理直接LoadLibraryA,当然需要一些额外工作了
看shoooo那个贴并没有发现它的ollydbg.exe修改过?他只提供了一个加载器yezhu.exe及其源代码,只说把yezhu.exe放到ollydbg.exe同一目录,而且加载后简单地add eax,1000然后jmp eax,其他什么都没做。
XP系统把EXE用LoadLibraryA加载后,系统的确能自动处理重定位表和引入表。LJTT所言。但是win2k用LoadLibraryA加载后还需自己写代码处理重定位表和引入表。我已经用ASM实现了EXE作DLL加载并正常运行。前面已贴了部分代码再加入引入表处理基本可以运行。要运行得好还必须hook部分API,如:GetCommandLine,GetModuleHandle,ExitProcess等
q3 watcher
2006-10-25, 08:21:43
最初由 gkend 发布
看shoooo那个贴并没有发现它的ollydbg.exe修改过?他只提供了一个加载器yezhu.exe及其源代码,只说把yezhu.exe放到ollydbg.exe同一目录,而且加载后简单地add eax,1000然后jmp eax,其他什么都没做。
XP系统把EXE用LoadLibraryA加载后,系统的确能自动处理重定位表和引入表。LJTT所言。但是win2k用LoadLibraryA加载后还需自己写代码处理重定位表和引入表。我已经用ASM实现了EXE作DLL加载并正常运行。前面已贴了部分代码再加入引入表处理基本可以运行。要运行得好还必须hook部分API,如:GetCommandLine,GetModuleHandle,ExitProcess等
把哪个ollydbg.exe双击一下就知道改没改了。
gkend
2006-10-25, 08:29:21
最初由 q3 watcher 发布
把哪个ollydbg.exe双击一下就知道改没改了。
他提供了吗?怎么没看到说明?
^花泽类^
2006-10-25, 08:51:29
所以说gkend是个断章取义,自以为是,无理取闹的小人
因为他不把别人的贴子看清楚,看完整就开始发表歪理邪说
heXer
2006-10-25, 08:52:21
一楼下载yezhu
二楼下载liliang
nbw
2006-10-25, 09:25:10
稍微?一下大呢,根本不用考?重定位http://bbs.pediy.com/upload/2006/4/image/testtest.gif
heXer
2006-10-25, 09:54:40
最初由 nbw 发布
稍微?一下大呢,根本不用考?重定位http://bbs.pediy.com/upload/2006/4/image/testtest.gif
这个貌似有点深,找不到大脑了怎么办
readyu
2006-10-25, 10:24:10
不明白,请牛详细说明一下。
最初由 nbw 发布
稍微?一下大呢,根本不用考?重定位http://bbs.pediy.com/upload/2006/4/image/testtest.gif
q3 watcher
2006-10-25, 11:30:22
最初由 heXer 发布
这个貌似有点深,找不到大脑了怎么办
可以注入一个.:cool: :cool: :cool:
shinesi
2006-10-25, 12:28:47
这里好热闹!!!
gkend
2006-10-25, 13:33:47
如果先把一个EXE文件修改成DLL然后再LoadLibraryA,那就更不值得奇怪了,本来就是DLL了,仅仅是扩展名为EXE而已。那为何不直接取名ollydbg.dll?看来我还是高估了Shoooo,比我想象的低很多。
如果把EXE修改成DLL,那加载器代码应该还可以简单,自己添加一段DLL入口代码并建立线程执行EXE的入口代码,把所有的pacth代码也可以事先在修改EXE成DLL时候写入。
问题关键是:他并没有直接把EXE作为DLL加载。而是加载一个真正的DLL文件。
我这里讨论的是:把EXE作为DLL加载,EXE没做任何修改。
^花泽类^
2006-10-25, 13:40:14
最初由 gkend 发布
如果先把一个EXE文件修改成DLL然后再LoadLibraryA,那就更不值得奇怪了,本来就是DLL了,仅仅是扩展名为EXE而已。那为何不直接取名ollydbg.dll?看来我还是高估了Shoooo,比我想象的低很多。
如果把EXE修改成DLL,那加载器代码应该还可以简单,自己添加一段DLL入口代码并建立线程执行EXE的入口代码,把所有的pacth代码也可以事先在修改EXE成DLL时候写入。
问题关键是:他并没有直接把EXE作为DLL加载。而是加载一个真正的DLL文件。
我这里讨论的是:把EXE作为DLL加载,EXE没做任何修改。
shoooo放出来的只是个简单的版本
gkend又是教条主义了
别人放了个A版本,就认为别人的能力只达到A版本
gkend却不知道它所说的这个别人早已完成
并且一楼中所说的
"所有的ollydbg插件都是把它作DLL加载的。有些人把olldbg.exe改为其它文件名,但是仍然必须保留ollydbg.exe本身"
这个问题也早已搞定.
只是你不知道罢了
^花泽类^
2006-10-25, 13:41:25
建议gkend听听nbw的
稍微?一下大呢
好了,今天限制只能发三个贴子
gkend
2006-10-25, 13:59:35
shoooo的心思 ^花泽类^ 知道,^花泽类^ 是shoooo肚子里的蛔虫。
不打自招!
^花泽类^
2006-10-25, 14:06:06
最初由 gkend 发布
shoooo的心思 ^花泽类^ 知道,^花泽类^ 是shoooo肚子里的蛔虫。
不打自招!
原来现在新人可以发5贴,HOHO
我要珍惜发贴机会
这年头,用攻击马甲来转移话题已经很老土了
并且花某是不是别人马甲,看雪老大自会查清楚,不用你费心
回到正题, 再次建议gkend听听nbw的,用用大脑
不要把自己搞不定的事情,当作是别人也搞不定:D: :D:
Aming
2006-10-25, 18:12:24
老流氓楼上的帖子写得很明白了。
成功地加载的必要但不充分条件是EXE有重定位表,VB5的EXE就可以。另外对于有其他资源文件的EXE,如有DLG,BMP等,还必须资源的移位方能保留原来EXE完整的功能。
有需要的话我可以发个例子。
heXer
2006-10-25, 19:00:15
想勾引Aming出来真不容易
有啥好东西快发给我,万一你硬盘再出毛病...
gkend
2006-10-25, 19:40:07
最初由 ^花泽类^ 发布
不要把自己搞不定的事情,当作是别人也搞不定
^花泽类^你从哪个贴子证明我不能搞定?你引用过来证明?我的心思你不可能知道,你不是我肚子里的蛔虫。
我看是你搞不定吧?想用急将法逼我提供?
^花泽类^
2006-10-25, 20:02:47
最初由 gkend 发布
^花泽类^你从哪个贴子证明我不能搞定?你引用过来证明?我的心思你不可能知道,你不是我肚子里的蛔虫。
我看是你搞不定吧?想用急将法逼我提供?
你这个言论充分说明你是个表里不一的人
表里不一体现在何处?
体现在如下:
shoooo发了个注入的版本,gkend从shoooo发表的版本中认为"高估了Shoooo,比gkend想象的低很多"
gkend为什么如此认为,shoooo仅仅发表了一个版本,事实上shoooo早已搞定gkend说所说那些,只是没有发表出来,由于gkend没有看到,于是认为shoooo搞不定
同样道理花某没有看到gkend发表任何有价值的东西,于是认为gkend搞不定,这时gkend急了,反问花泽类“从哪个贴子证明gkend搞不定”
很显然,gkend无法证明shoooo搞不定,花某也无法证明gkend搞不定
但是gkend却毫无理由的认定shoooo搞不定,并且无聊的反驳别人说自己没有搞不定,表里不一
另外,花某是新人,搞不定是自然的,gkend你搞得定搞不定管我P事
gkend
2006-10-25, 20:47:09
把一个EXE修改成DLL,然后再写代码加载,这样的低水平重复,我是不会出搞,更不会发表出来。把一个DLL注入到别的进程,已经不是什么新课题。我不需要拿什么来证明我怎么的,我是初级会员,我只想做一个初级会员。但是,shoooo是Pediy的害群之马,大家有目共睹,他不知道同多少人吵架?而且他的不文明之语随处可见。
gkend
2006-10-26, 13:36:40
论坛又不是你shoooo的,你有什么资格说别人适不适当?。除非kanxue封ID,我还是会想来就来看看。
本来就是一场不公平的PK,大家看注册时间,看会员级别就知道多么不公平。俗话说,好事不出名,坏事传千里。shoooo的名肯定比gkend传得更远些。gkend只是个符号,很多人不了解也没有必要了解,正如我不了解这里其他人一样。
1508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
