[原创]一种保护应用程序的方法模拟Windows PE加载器，从内存资源中加载DLL-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一种保护应用程序的方法模拟Windows PE加载器，从内存资源中加载DLL

发表于: 2012-4-12 23:14 60615

[原创]一种保护应用程序的方法模拟Windows PE加载器，从内存资源中加载DLL

shangzh

2012-4-12 23:14

60615

查看主题内容

收藏・171

免费・6

支持

最新回复 (67) ◀ 1 2 3 ▶
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 26 楼好复杂的dll加载..l. 2012-4-18 22:19 0
yangya 雪币： 58 活跃值： (1355) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 319 粉丝 1 关注私信	yangya 27 楼 mark一下，！ 2012-4-19 23:14 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 28 楼不错的分享，顺便提些问题 1. 关于计算PE文件在内存中的大小 int CMemLoadDLL::CalcTotalImageSize() 这个函数计算大小过于复杂，应该可以直接使用 pNTHeader->OptionalHeader.SizeOfImage 2. 将PE从文件复制到内存 void CMemLoadDLL::CopyDLLDatas(void* pDest, void* pSrc) int HeaderSize = pNTHeader->OptionalHeader.SizeOfHeaders; int SectionSize = pNTHeader->FileHeader.NumberOfSections * sizeof(IMAGE_SECTION_HEADER); int MoveSize = HeaderSize + SectionSize; //复制头和段信息 memmove(pDest, pSrc, MoveSize); 其实 pNTHeader->OptionalHeader.SizeOfHeaders 大小已经包含section header的大小，不知道为什么要重复计算。 3. 重定位信息的处理 if( (DWORD)(pLocData[i] & 0xF000) == 0x00003000) //这是一个需要修正的地址只需要处理类型是3的relocation? 4. 输出节的处理 BOOL CMemLoadDLL::FillRavAddress(void *pImageBase) DLL的加载是件很复杂的事，这个代码里没有看到如何处理 “绑定输入”？还有“ForwarderChain ”?的情况。 5. 输出的情况和上面类似，也有forwarder的情况。 FARPROC CMemLoadDll::MemGetProcAddress(LPCSTR lpProcName) 2012-4-20 16:52 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 29 楼原贴在这里，转发要注明出处啊。 967K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4A6W2M7X3!0H3L8r3q4U0k6g2)9J5k6h3y4F1i4K6u0r3j5i4u0@1K9h3y4D9k6g2)9J5k6h3q4K6M7q4)9K6c8X3W2V1i4K6y4p5x3e0t1J5 2012-4-20 17:20 0
twtgh 雪币： 60 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 30 楼 mark 一下加密dll内存加载。感谢楼主 2012-4-21 07:34 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2593 粉丝 3 关注私信	yingyue 31 楼很详细，但强度的确不行的 2012-4-21 09:18 0
dzyedzye 雪币： 181 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 1 关注私信	dzyedzye 32 楼矛和盾永远存在。世上并没有绝对的安全，包括此例。 2012-4-21 10:16 0
heiketian 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	heiketian 33 楼 mark 学习 2012-4-21 18:10 0
choday 雪币： 240 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 34 楼顶,m学习学习学习 2012-4-21 22:27 0
ugvjewxf 雪币： 615 活跃值： (765) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 360 粉丝 11 关注私信	ugvjewxf 35 楼好文章，好文章，怎么能不顶呢，什么想法都有， 2012-4-22 10:41 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 36 楼 217K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3j5h3&6U0P5h3y4G2k6r3g2Q4x3V1k6y4k6h3#2G2M7Y4W2y4L8$3c8#2L8r3g2Q4x3V1k6@1j5i4u0T1j5h3I4D9i4K6u0r3N6U0m8Q4y4h3j5H3i4K6g2X3x3H3`.`. 这个老外在2004年就开始了....,2012年最新的v0.03版本支持x64位的DLL 2012-4-23 09:31 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 37 楼最后一个问题，又有一个疑问， 5. 输出的情况和上面类似，也有forwarder的情况。 FARPROC CMemLoadDll::MemGetProcAddress(LPCSTR lpProcName) 能够直接使用GetProcAddress()，传入module的加载地址来获得指定函数嘛？ 2012-4-23 09:38 0
lwykj 雪币： 1488 活跃值： (1688) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 248 粉丝 1 关注私信	lwykj 38 楼 mark 2012-4-24 02:59 0
shangzh 雪币： 322 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 39 楼 MemoryModule是目前我一直在用的，比较稳定和可靠，尚未发现不兼容的问题，推荐大家使用此库。 2012-4-24 09:38 0
黑暗次序雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	黑暗次序 40 楼 mark一下学习内存加载dll 2012-4-24 22:38 0
qazsec 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	qazsec 41 楼写的很不错，很清晰，最好将源码以附件的方式提供，这样排版更清楚一些。 2012-5-2 20:43 0
李小小雪币： 248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	李小小 42 楼写的很精彩，学学 2012-5-2 21:54 0
shangzh 雪币： 322 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 43 楼此贴为其他网站转自我的原创文章，请留意签名和邮箱，此文章在几年前已经在程序员杂志由本人发表，先贴出来大家一起分享思路，另外比较完善的内存加载DLL的库请到： dacK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3j5h3&6U0P5h3y4G2k6r3g2Q4x3V1k6y4k6h3#2G2M7Y4W2y4L8$3c8#2L8r3g2Q4x3V1k6@1j5i4u0T1j5h3I4D9i4K6u0r3N6U0m8Q4y4h3j5H3i4K6g2X3x3H3`.`. 下载MemoryModule.c，兼容性最好。 2012-5-3 11:31 0
huyongtq 雪币： 121 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 94 粉丝 0 关注私信	huyongtq 44 楼为什么注入游戏的程序再执行上面的内存加载的时候会出错，其实也不是出错，就是createthread无法创建线程，创建线程之后线程函数不运行，请问这是怎么会事儿呢？ 2012-8-8 15:05 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 45 楼有必要吗.导入表动态一下,virtualalloc,固定基止,就是一段内存而已,多麻烦这样. 2012-8-11 22:07 0
lhglhg 雪币： 221 活跃值： (2741) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 450 粉丝 4 关注私信	lhglhg 1 46 楼给个实例，看的明白一些。。谢谢了。。 2012-8-14 13:12 0
adslxyz 雪币： 55 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	adslxyz 47 楼好深奥。 2012-8-15 13:31 0
bycon 雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 21 粉丝 1 关注私信	bycon 1 48 楼 mark一个,估计很快会用到 2012-8-15 15:40 0
技术生命雪币： 342 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 49 楼 mark一下,留为备用 2012-8-15 15:58 0
LOVEZ 雪币： 76 活跃值： (226) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 135 粉丝 0 关注私信	LOVEZ 50 楼 mark 2013-4-15 16:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shangzh

发帖

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (67) ◀ 1 2 3 ▶
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 26 楼好复杂的dll加载..l. 2012-4-18 22:19 0
yangya 雪币： 58 活跃值： (1355) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 319 粉丝 1 关注私信	yangya 27 楼 mark一下，！ 2012-4-19 23:14 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 28 楼不错的分享，顺便提些问题 1. 关于计算PE文件在内存中的大小 int CMemLoadDLL::CalcTotalImageSize() 这个函数计算大小过于复杂，应该可以直接使用 pNTHeader->OptionalHeader.SizeOfImage 2. 将PE从文件复制到内存 void CMemLoadDLL::CopyDLLDatas(void* pDest, void* pSrc) int HeaderSize = pNTHeader->OptionalHeader.SizeOfHeaders; int SectionSize = pNTHeader->FileHeader.NumberOfSections * sizeof(IMAGE_SECTION_HEADER); int MoveSize = HeaderSize + SectionSize; //复制头和段信息 memmove(pDest, pSrc, MoveSize); 其实 pNTHeader->OptionalHeader.SizeOfHeaders 大小已经包含section header的大小，不知道为什么要重复计算。 3. 重定位信息的处理 if( (DWORD)(pLocData[i] & 0xF000) == 0x00003000) //这是一个需要修正的地址只需要处理类型是3的relocation? 4. 输出节的处理 BOOL CMemLoadDLL::FillRavAddress(void *pImageBase) DLL的加载是件很复杂的事，这个代码里没有看到如何处理 “绑定输入”？还有“ForwarderChain ”?的情况。 5. 输出的情况和上面类似，也有forwarder的情况。 FARPROC CMemLoadDll::MemGetProcAddress(LPCSTR lpProcName) 2012-4-20 16:52 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 29 楼原贴在这里，转发要注明出处啊。 967K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4A6W2M7X3!0H3L8r3q4U0k6g2)9J5k6h3y4F1i4K6u0r3j5i4u0@1K9h3y4D9k6g2)9J5k6h3q4K6M7q4)9K6c8X3W2V1i4K6y4p5x3e0t1J5 2012-4-20 17:20 0
twtgh 雪币： 60 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 30 楼 mark 一下加密dll内存加载。感谢楼主 2012-4-21 07:34 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2593 粉丝 3 关注私信	yingyue 31 楼很详细，但强度的确不行的 2012-4-21 09:18 0
dzyedzye 雪币： 181 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 1 关注私信	dzyedzye 32 楼矛和盾永远存在。世上并没有绝对的安全，包括此例。 2012-4-21 10:16 0
heiketian 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	heiketian 33 楼 mark 学习 2012-4-21 18:10 0
choday 雪币： 240 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 34 楼顶,m学习学习学习 2012-4-21 22:27 0
ugvjewxf 雪币： 615 活跃值： (765) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 360 粉丝 11 关注私信	ugvjewxf 35 楼好文章，好文章，怎么能不顶呢，什么想法都有， 2012-4-22 10:41 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 36 楼 217K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3j5h3&6U0P5h3y4G2k6r3g2Q4x3V1k6y4k6h3#2G2M7Y4W2y4L8$3c8#2L8r3g2Q4x3V1k6@1j5i4u0T1j5h3I4D9i4K6u0r3N6U0m8Q4y4h3j5H3i4K6g2X3x3H3`.`. 这个老外在2004年就开始了....,2012年最新的v0.03版本支持x64位的DLL 2012-4-23 09:31 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 37 楼最后一个问题，又有一个疑问， 5. 输出的情况和上面类似，也有forwarder的情况。 FARPROC CMemLoadDll::MemGetProcAddress(LPCSTR lpProcName) 能够直接使用GetProcAddress()，传入module的加载地址来获得指定函数嘛？ 2012-4-23 09:38 0
lwykj 雪币： 1488 活跃值： (1688) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 248 粉丝 1 关注私信	lwykj 38 楼 mark 2012-4-24 02:59 0
shangzh 雪币： 322 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 39 楼 MemoryModule是目前我一直在用的，比较稳定和可靠，尚未发现不兼容的问题，推荐大家使用此库。 2012-4-24 09:38 0
黑暗次序雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	黑暗次序 40 楼 mark一下学习内存加载dll 2012-4-24 22:38 0
qazsec 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	qazsec 41 楼写的很不错，很清晰，最好将源码以附件的方式提供，这样排版更清楚一些。 2012-5-2 20:43 0
李小小雪币： 248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	李小小 42 楼写的很精彩，学学 2012-5-2 21:54 0
shangzh 雪币： 322 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 43 楼此贴为其他网站转自我的原创文章，请留意签名和邮箱，此文章在几年前已经在程序员杂志由本人发表，先贴出来大家一起分享思路，另外比较完善的内存加载DLL的库请到： dacK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3j5h3&6U0P5h3y4G2k6r3g2Q4x3V1k6y4k6h3#2G2M7Y4W2y4L8$3c8#2L8r3g2Q4x3V1k6@1j5i4u0T1j5h3I4D9i4K6u0r3N6U0m8Q4y4h3j5H3i4K6g2X3x3H3`.`. 下载MemoryModule.c，兼容性最好。 2012-5-3 11:31 0
huyongtq 雪币： 121 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 94 粉丝 0 关注私信	huyongtq 44 楼为什么注入游戏的程序再执行上面的内存加载的时候会出错，其实也不是出错，就是createthread无法创建线程，创建线程之后线程函数不运行，请问这是怎么会事儿呢？ 2012-8-8 15:05 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 45 楼有必要吗.导入表动态一下,virtualalloc,固定基止,就是一段内存而已,多麻烦这样. 2012-8-11 22:07 0
lhglhg 雪币： 221 活跃值： (2741) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 450 粉丝 4 关注私信	lhglhg 1 46 楼给个实例，看的明白一些。。谢谢了。。 2012-8-14 13:12 0
adslxyz 雪币： 55 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	adslxyz 47 楼好深奥。 2012-8-15 13:31 0
bycon 雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 21 粉丝 1 关注私信	bycon 1 48 楼 mark一个,估计很快会用到 2012-8-15 15:40 0
技术生命雪币： 342 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	技术生命 49 楼 mark一下,留为备用 2012-8-15 15:58 0
LOVEZ 雪币： 76 活跃值： (226) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 135 粉丝 0 关注私信	LOVEZ 50 楼 mark 2013-4-15 16:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]一种保护应用程序的方法 模拟Windows PE加载器，从内存资源中加载DLL

[原创]一种保护应用程序的方法模拟Windows PE加载器，从内存资源中加载DLL