社区
Windows SDK/API
帖子详情
怎样把一段指令或者一个pe文件(exe,dll)加载到内存运行?upx,aspack之类的怎么做的?
stanely
2004-04-29 01:15:29
rt
...全文
241
19
打赏
收藏
怎样把一段指令或者一个pe文件(exe,dll)加载到内存运行?upx,aspack之类的怎么做的?
rt
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
19 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
Eastunfail
2004-05-13
打赏
举报
回复
搜索UPX源码
stanely
2004-05-13
打赏
举报
回复
...
stanely
2004-05-12
打赏
举报
回复
oh my god...
yansea
2004-05-11
打赏
举报
回复
www.pediy.com上有一款带源码的加壳软件。你找找看吧,不过是用MASM写的。
stanely
2004-05-10
打赏
举报
回复
有没有知道的阿。。。
visual_cjiajia
2004-05-06
打赏
举报
回复
说的容易!你们看问题都太简单了!
CloneCenter
2004-05-06
打赏
举报
回复
这个我还真的不是很清楚呢,帮你顶吧。
不过应该需要了解 PE 的结构,可能会好做一些。
stanely
2004-05-06
打赏
举报
回复
哦?
pankun
2004-05-06
打赏
举报
回复
"因为不是简单的调用PE中代码代的代码就可以了"写错了,应为代码段
pankun
2004-05-06
打赏
举报
回复
加载指今到内存中并运行比较简单,用VirtualAllocEx函数以PAGE_EXECUTE_READWRITE标志申请可执行可读写的虚拟内存,并写代码到其中,再call就可以了。
可以参考:
http://www.csdn.net/develop/read_article.asp?id=21079
这里面的例子在其它进程中动态申请了内存并加载了代码运行。
加载PE文件到内存中并运行有点麻烦,因为不是简单的调用PE中代码代的代码就可以了,涉及到了PE文件中API及资源的重定位问题。
对加载PE文件到内存中运行我有个想法,可以用内存文件映射试试,现在太晚了,晚天我试试,如果可以就贴代码上来。
mscrack
2004-05-06
打赏
举报
回复
看病毒代码的介绍...
先学会函数的重定位, 也许对写壳有很大的帮助.
ly_liuyang
2004-05-05
打赏
举报
回复
UPX是有代码的,去研究了
stanely
2004-05-05
打赏
举报
回复
真没人知道阿?
Eastunfail
2004-05-05
打赏
举报
回复
我只能说说原理,除非教我一些PE结构和压缩解压算法,我还真的写不出来,呵呵~~:)
他修改了PE头信息,加入了自己的一个节,并将入口指针指向了自己的解压代码,并修改了其他所有节的属性,将所有只读的都设为可写,程序执行的时候,跳到解压代码来了,解压代码根据解压算法将原本保存在个自节中的压缩代码解压后并重新写入节里面(这也是为什么前面要将节属性改为可写的原因),解压完毕后在跳转到原来的入口地址
stanely
2004-05-05
打赏
举报
回复
我记得好像看过可以创建一块可以有执行权限的内存的办法,不是道是不是works
stanely
2004-04-30
打赏
举报
回复
中国真没人知道吗?
bottom
2004-04-29
打赏
举报
回复
压缩EXE很复杂 中国没几个人写清楚 有看一个 不过写的太烂了 删除了!
stanely
2004-04-29
打赏
举报
回复
有没有知道的?
bottom
2004-04-29
打赏
举报
回复
不知道 外老外去!
逆向学习1-[脱壳技术]/篇1
常见的压缩壳有:
Upx
、
ASp
ack
、
PE
Compat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的
PE
文件
会比原
文件
大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:
ASP
rotector、...
破解
PE
文件
删除时可在任意
一个
内存
地址点右键,选择"
内存
->删除
内存
断点"即可. (6)在W窗口中可以看到当前组件的句柄,在这个窗口里点右键选择设置消息断点,在弹出的窗口里可以设置所要中断的消息.然后,在调试选项里设置"跟踪...
加壳与脱壳知识点(持续更新)
虚拟技术应用到壳的领域,设计了一套虚拟机引擎,将原始的汇编代码转译成虚拟机
指令
,要理解原始的汇编代码,就必须对其虚拟机引擎进行研究,而这极大地增加了破解和逆向的难度及成本。 2.常见的壳 (2.1)压缩壳 ...
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
另外
一个
原因在于
DLL
的重定位,
DLL
文件
的ImageBase值一般为10000000,但当两个
DLL
尝试装载到同
一个
地址时会发生冲突,因此有
一个
DLL
得寻找另
一个
地址装载,这就是所谓的
DLL
重定位。 因此当我们要调用某个
DLL
中的函数...
免杀方式
内存
查杀 杀毒软件把病毒特征代码释放到
内存
中,然后与
内存
中的
文件
进行比对,发现有
文件
中带有病毒特征代码就给予查杀。(灰鸽子2005服务端 VS 瑞星
做
演示) 3.行为杀毒 杀毒软件用木马
运行
后的一些特定的行为作为...
Windows SDK/API
1,183
社区成员
22,335
社区内容
发帖
与我相关
我的任务
Windows SDK/API
Delphi Windows SDK/API
复制链接
扫一扫
分享
社区描述
Delphi Windows SDK/API
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章