关于把EXE文件作DLL加载！

gkend

2006-10-23, 21:16:45

把ollydbg.exe作为DLL加载并不奇怪，ollydbg.exe本来就可以作DLL,所有的ollydbg插件都是把它作DLL加载的。有些人把olldbg.exe改为其它文件名，但是仍然必须保留ollydbg.exe本身，否则大部分插件就不能正常工作。所以利用枚举进程模块，不管你怎么修改ollydbg.exe文件名，仍然能在模块中找到ollydbg.exe.
如果能把任意EXE文件作DLL加载，那才值得称道！

Isaiah

2006-10-23, 21:18:17

需要重定位

鸡蛋壳

2006-10-23, 21:42:53

最初由 gkend 发布
把ollydbg.exe作为DLL加载并不奇怪，ollydbg.exe本来就可以作DLL,所有的ollydbg插件都是把它作DLL加载的。有些人把olldbg.exe改为其它文件名，但是仍然必须保留ollydbg.exe本身，否则大部分插件就不能正常工作。所以利用枚举进程模块，不管你怎么修改ollydbg.exe文件名，仍然能在模块中找到ollydbg.exe.
如果能把任意EXE文件作DLL加载，那才值得称道！ 

还是有点东西的，自己研究就知道了，做成通用的有见过的，不过那个等于没有什么意义了，是替换原有进程景象，相当于原来的进程内容被抹掉，意义就不大了。

foxabu

2006-10-23, 21:45:08

exe 是可以有重定位表的

Isaiah

2006-10-23, 22:26:18

gkend不是鸡蛋的马甲？

gkend

2006-10-24, 00:17:24

EXE作为DLL加载大致流程：
push xxxxx //指向EXE文件名
call LoadLibraryA
mov esi,eax
or eax,eax
jnz @f
jmp ExitThread
@@:
mov ebx,[esi+03ch]
add ebx,eax
mov ecx,[ebx+28h] //EP
add eax,ecx //EP+基址
mov edx,[ebx+34h] //imagebase
mov edi,[ebx+0a0h] //relocation table address
add edi,esi
mov ecx,[ebx+0a4h] //size
处理重定位：
pushad
@@:
mov ebx,[edi]
mov eax,[edi+4]
add ebx,esi
add eax,edi
add edi,8
rep1:
xor ecx,ecx
mov cx,[edi]
mov bp,cx
add edi,2
and cx,0fffh
and bp,0f000h
cmp bp,03000h
jnz rep2
add ecx,ebx
mov ebp,[ecx]
sub ebp,edx
add ebp,esi
mov [ecx],ebp
rep2:
cmp edi,eax
jb rep1
cmp dword ptr [edi],0
jnz @b

popad
//此处可以加入你要patch的地址和代码，如ExitProcess,GetModuleHandle修补代码
...
jmp eax //到EP执行，eax等于EP

heXer

2006-10-24, 09:07:08

没测试过的代码吧

snowshow

2006-10-24, 09:28:17

哎，不就是想PK飞狐吗

鸡蛋壳

2006-10-24, 09:31:35

最初由 gkend 发布
EXE作为DLL加载大致流程：
push xxxxx //指向EXE文件名
call LoadLibraryA
mov esi,eax
or eax,eax
........ 

最好是做个成品，我开始思路跟这个差不多。

gkend

2006-10-24, 12:40:45

前面一位说需要处理重定位，我只发了重定位处理代码。注意：重定位处理前，还要修改所有区段属性为可写否则写入时会异常。
当然还要处理Import Table,最后才能jmp EP.

liuyilin

2006-10-24, 12:56:53

强烈要求大虾gkend弄个成品使用
谢

ljtt

2006-10-24, 21:03:26

如果仅仅是想实现把一个EXE当DLL来加载，你所要做的工作仅仅是判断这是否是一个“合乎标准”的EXE文件就行。
至于加载Reloc/Import/..等等这些工作本身就是系统的任务，你没必要代劳。而且系统会自己做得很好。这和“壳”
不太一样。

如果你想实现模拟这个加载过程，也就是说，想把EXE当数据放入内存并模拟其加载过程，并让他能够象独立运行时
一样的结果，则要麻烦的多。而且如果想做得比较完善，那么要考虑的问题还不少。

除了要模拟系统所做的加载Reloc/Import/Tls/DelayImport等等工作之外，可能你还需要Hook一些API，达到模拟出
一个与EXE真正运行时一模一样的“进程环境”。

比如Hook象OpenProcess/WriteProcessMemory/ReadProcessMemory这些API，一旦进程想打开自身，想修改自身某处
代码时，你必须让他去修改EXE数据空间的内容，而不是去修改模拟环境的某段代码。因为你现在模拟加载时，EXE
是没有独立的进程空间的，它只是占有一段数据空间，其进程空间是与模拟环境自身共用一个进程环境的。

还有更麻烦的问题，比如比如GetModuleHandle(NULL)时，正常情况下应该返回一个“句柄”，但同时这个“句柄”
也可以作为进程首地址使用，这种双重作为导致即使Hook了这个API，处理起来也麻烦，而且可能还需要再HOOK
一堆与此问题相关的API。

gkend

2006-10-24, 21:24:05

最初由 ljtt 发布
如果仅仅是想实现把一个EXE当DLL来加载，你所要做的工作仅仅是判断这是否是一个“合乎标准”的EXE文件就行。
至于加载Reloc/Import/..等等这些工作本身就是系统的任务，你没必要代劳。而且系统会自己做得很好。这和“壳”
不太一样。

如果你想实现模拟这个加载过程，也就是说，想把EXE当数据放入内存并模拟其加载过程，并让他能够象独立运行时
........ 
我不知道你用的是什么系统？win2k.sp4用LoadLibraryA加载后，根本就不处理重定位和引入表，必须自己处理重定位和引入表。
所以shoooo提供的方法有局限性（他本人却不知道有的win系统不能用，难怪代码那么简单），他提供的源代码根本就没有处理重定位和引入表，所以你没有看见很多人非法操作？

ljtt

2006-10-24, 22:02:26

我用的是XP，你说的情况不知道LoadLibraryA返回的结果如何？如果结果失败没有处理重定位表和引入表很正常，如果结果成功，也没有处理这些则不太正常，即使EXE当DLL加载，也有处理这些的可能。要不你发个这样的程序给我看看，我看看是否我的系统上也是这种情况。

mailto: [email protected]

heXer

2006-10-24, 23:15:45

shoooo的ollydbg.exe是修改过的了，已经是dll属性了，自然可以直接LoadLibraryA成功，并由系统自动处理重定位表和引入表
一个普通exe未经任何处理直接LoadLibraryA，当然需要一些额外工作了

girl

2006-10-25, 00:00:40

没看到exe当dll加载有什么价值:confused:

gkend

2006-10-25, 08:12:31

最初由 heXer 发布
shoooo的ollydbg.exe是修改过的了，已经是dll属性了，自然可以直接LoadLibraryA成功，并由系统自动处理重定位表和引入表
一个普通exe未经任何处理直接LoadLibraryA，当然需要一些额外工作了 
看shoooo那个贴并没有发现它的ollydbg.exe修改过？他只提供了一个加载器yezhu.exe及其源代码，只说把yezhu.exe放到ollydbg.exe同一目录，而且加载后简单地add eax,1000然后jmp eax,其他什么都没做。
XP系统把EXE用LoadLibraryA加载后，系统的确能自动处理重定位表和引入表。LJTT所言。但是win2k用LoadLibraryA加载后还需自己写代码处理重定位表和引入表。我已经用ASM实现了EXE作DLL加载并正常运行。前面已贴了部分代码再加入引入表处理基本可以运行。要运行得好还必须hook部分API,如：GetCommandLine,GetModuleHandle，ExitProcess等

q3 watcher

2006-10-25, 08:21:43

最初由 gkend 发布
看shoooo那个贴并没有发现它的ollydbg.exe修改过？他只提供了一个加载器yezhu.exe及其源代码，只说把yezhu.exe放到ollydbg.exe同一目录，而且加载后简单地add eax,1000然后jmp eax,其他什么都没做。
XP系统把EXE用LoadLibraryA加载后，系统的确能自动处理重定位表和引入表。LJTT所言。但是win2k用LoadLibraryA加载后还需自己写代码处理重定位表和引入表。我已经用ASM实现了EXE作DLL加载并正常运行。前面已贴了部分代码再加入引入表处理基本可以运行。要运行得好还必须hook部分API,如：GetCommandLine,GetModuleHandle，ExitProcess等 
把哪个ollydbg.exe双击一下就知道改没改了。

gkend

2006-10-25, 08:29:21

最初由 q3 watcher 发布
把哪个ollydbg.exe双击一下就知道改没改了。 
他提供了吗？怎么没看到说明？

^花泽类^

2006-10-25, 08:51:29

所以说gkend是个断章取义,自以为是,无理取闹的小人
因为他不把别人的贴子看清楚,看完整就开始发表歪理邪说

heXer

2006-10-25, 08:52:21

一楼下载yezhu
二楼下载liliang

nbw

2006-10-25, 09:25:10

稍微?一下大呢，根本不用考?重定位http://bbs.pediy.com/upload/2006/4/image/testtest.gif

heXer

2006-10-25, 09:54:40

最初由 nbw 发布
稍微?一下大呢，根本不用考?重定位http://bbs.pediy.com/upload/2006/4/image/testtest.gif 

这个貌似有点深，找不到大脑了怎么办

readyu

2006-10-25, 10:24:10

不明白，请牛详细说明一下。

最初由 nbw 发布
稍微?一下大呢，根本不用考?重定位http://bbs.pediy.com/upload/2006/4/image/testtest.gif

q3 watcher

2006-10-25, 11:30:22

最初由 heXer 发布
这个貌似有点深，找不到大脑了怎么办 
可以注入一个.:cool: :cool: :cool:

shinesi

2006-10-25, 12:28:47

这里好热闹!!!

gkend

2006-10-25, 13:33:47

如果先把一个EXE文件修改成DLL然后再LoadLibraryA,那就更不值得奇怪了，本来就是DLL了，仅仅是扩展名为EXE而已。那为何不直接取名ollydbg.dll?看来我还是高估了Shoooo,比我想象的低很多。
如果把EXE修改成DLL，那加载器代码应该还可以简单，自己添加一段DLL入口代码并建立线程执行EXE的入口代码，把所有的pacth代码也可以事先在修改EXE成DLL时候写入。
问题关键是：他并没有直接把EXE作为DLL加载。而是加载一个真正的DLL文件。
我这里讨论的是：把EXE作为DLL加载，EXE没做任何修改。

^花泽类^

2006-10-25, 13:40:14

最初由 gkend 发布
如果先把一个EXE文件修改成DLL然后再LoadLibraryA,那就更不值得奇怪了，本来就是DLL了，仅仅是扩展名为EXE而已。那为何不直接取名ollydbg.dll?看来我还是高估了Shoooo,比我想象的低很多。
如果把EXE修改成DLL，那加载器代码应该还可以简单，自己添加一段DLL入口代码并建立线程执行EXE的入口代码，把所有的pacth代码也可以事先在修改EXE成DLL时候写入。
问题关键是：他并没有直接把EXE作为DLL加载。而是加载一个真正的DLL文件。
我这里讨论的是：把EXE作为DLL加载，EXE没做任何修改。 

shoooo放出来的只是个简单的版本
gkend又是教条主义了
别人放了个A版本,就认为别人的能力只达到A版本
gkend却不知道它所说的这个别人早已完成
并且一楼中所说的
"所有的ollydbg插件都是把它作DLL加载的。有些人把olldbg.exe改为其它文件名，但是仍然必须保留ollydbg.exe本身" 
这个问题也早已搞定.
只是你不知道罢了

^花泽类^

2006-10-25, 13:41:25

建议gkend听听nbw的
稍微?一下大呢

好了,今天限制只能发三个贴子

gkend

2006-10-25, 13:59:35

shoooo的心思 ^花泽类^ 知道，^花泽类^ 是shoooo肚子里的蛔虫。
不打自招！

^花泽类^

2006-10-25, 14:06:06

最初由 gkend 发布
shoooo的心思 ^花泽类^ 知道，^花泽类^ 是shoooo肚子里的蛔虫。
不打自招！ 


原来现在新人可以发5贴,HOHO
我要珍惜发贴机会

这年头,用攻击马甲来转移话题已经很老土了
并且花某是不是别人马甲,看雪老大自会查清楚,不用你费心
回到正题, 再次建议gkend听听nbw的,用用大脑
不要把自己搞不定的事情,当作是别人也搞不定:D: :D:

Aming

2006-10-25, 18:12:24

老流氓楼上的帖子写得很明白了。
成功地加载的必要但不充分条件是EXE有重定位表，VB5的EXE就可以。另外对于有其他资源文件的EXE，如有DLG,BMP等，还必须资源的移位方能保留原来EXE完整的功能。

有需要的话我可以发个例子。

heXer

2006-10-25, 19:00:15

想勾引Aming出来真不容易
有啥好东西快发给我，万一你硬盘再出毛病...

gkend

2006-10-25, 19:40:07

最初由 ^花泽类^ 发布
不要把自己搞不定的事情,当作是别人也搞不定

^花泽类^你从哪个贴子证明我不能搞定？你引用过来证明？我的心思你不可能知道，你不是我肚子里的蛔虫。
我看是你搞不定吧？想用急将法逼我提供？

^花泽类^

2006-10-25, 20:02:47

最初由 gkend 发布
^花泽类^你从哪个贴子证明我不能搞定？你引用过来证明？我的心思你不可能知道，你不是我肚子里的蛔虫。
我看是你搞不定吧？想用急将法逼我提供？ 


你这个言论充分说明你是个表里不一的人
表里不一体现在何处？
体现在如下：
shoooo发了个注入的版本，gkend从shoooo发表的版本中认为"高估了Shoooo,比gkend想象的低很多"
gkend为什么如此认为，shoooo仅仅发表了一个版本，事实上shoooo早已搞定gkend说所说那些，只是没有发表出来，由于gkend没有看到，于是认为shoooo搞不定

同样道理花某没有看到gkend发表任何有价值的东西，于是认为gkend搞不定，这时gkend急了，反问花泽类“从哪个贴子证明gkend搞不定”

很显然，gkend无法证明shoooo搞不定,花某也无法证明gkend搞不定
但是gkend却毫无理由的认定shoooo搞不定，并且无聊的反驳别人说自己没有搞不定，表里不一

另外，花某是新人，搞不定是自然的，gkend你搞得定搞不定管我P事

gkend

2006-10-25, 20:47:09

把一个EXE修改成DLL,然后再写代码加载，这样的低水平重复，我是不会出搞，更不会发表出来。把一个DLL注入到别的进程，已经不是什么新课题。我不需要拿什么来证明我怎么的，我是初级会员，我只想做一个初级会员。但是，shoooo是Pediy的害群之马，大家有目共睹，他不知道同多少人吵架？而且他的不文明之语随处可见。

gkend

2006-10-26, 13:36:40

论坛又不是你shoooo的，你有什么资格说别人适不适当？。除非kanxue封ID，我还是会想来就来看看。
本来就是一场不公平的PK,大家看注册时间，看会员级别就知道多么不公平。俗话说，好事不出名，坏事传千里。shoooo的名肯定比gkend传得更远些。gkend只是个符号，很多人不了解也没有必要了解，正如我不了解这里其他人一样。