高手请进! (如何自己载入程序并运行？)(50分)

R

Rocklee

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-04-18

• #1

我如何不用CreateProcess, Winexec, ShellExecute这些API函数启动一个进程(或程序)?
;我如何先将一个可执行程序(作为数据文件一样)读入内存中，再将运行权转交其运行!
;(还有，如何设置其运行环境变量)

 

J

jingtao

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-04-19

• #2

我如何先将一个可执行程序(作为数据文件一样)读入内存中，再将运行权转交其运行!
先保存自己的运行指针，然后把运行指针指向文件（内存位置）。ASPACK就是这样了。

 

W

wqhuo

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-04-20

• #3

学习...
楼上请说明白些，How to do?

 

Z

zhongpu

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-04-20

• #4

说明：ASPACK是将exe文件压缩到磁盘后再GreateProcess,当前进程（aspack)
WaitForSingalObject（...)，直到压缩可执行文件运行结束。

至于这个问题，16bit汇编实现起来会比较容易，只需保存重置cs:ip，32bitWindows程序
的代码段是不允许程序自己修改的（？？？），既然这样，另外load也不行。
恕本人肤浅。

 

J

jingtao

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-04-21

• #5

>ASPACK是将exe文件压缩到磁盘后再GreateProcess,当前进程（aspack)
WaitForSingalObject（...)，直到压缩可执行文件运行结束。

绝对不是这样的。因为这样做的话水平也太次了。我以前写的就是这样：
http://go4.163.com/~lovejingtao/exelock.exe
http://go4.163.com/~lovejingtao/exe2to1.exe

你可以看一下ASPACK的帮助文件。里面清楚说明了是跳转指针的。

其实这里设计到的知识面很广。最完美的当然是自己做一个WINDOWS文件载入表。
这些方法很容易被用作做病毒，所以一般不会公布的。

 

R

Rocklee

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-06

• #6

我正在关注着...

 

M

mantousoft

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-07

• #7

同意jintao,我也作过exelcok http://mantousoft.51.net其中有我的PE研究的文档.
不过水平不过,见笑了
本来也想用Aspack那种方法,可能是手工建立程序Table表,其中涉及文件对齐,
import表入口,更改入口,返回执行等等一系列复杂的东西,
说白了,病毒不是这么好编的,我看了不少这方面的东西,难呀
对了,锦涛兄,QQ加你了,你什么时候在呀.

 

J

jingtao

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-07

• #8

mantousoft:
我们可爱的MINCER确已经做出来了啊。
http://mincer.top263.net/pro/psw.zip
／／－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
—《★超级EXE文件加密器 1.5v★》说它超级一点也不错，它和传统的EXE口令加密器
（类似EXEGhost的写出型）根本不是一个思路，不用担心程序运行时脱壳后的程序被盗走。
（那类东西运行时都要脱壳为一个文件再运行:-<）不必担心运行时路径和原文件不同，加
锁后文件只大2K。不足之处就是界面很简单，哎~汇编根本不适合界面设计！
／／－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
我们有时间的话还是花长时间去写一个别人没有写过的程序吧，不要写些重复创作的东西了。
现在的软件普遍技术含量都不高，随便拿一个来很快就可以写一个功能一模一样甚至更好的，
但又有什么意思呢？：）
为什么老写错我的名字呢？“经韬”两个字很难写吗？：）呵呵。
一般晚上没有事才在啊，这几天为ＭＭ充当打字员，全拼，４０００００字。。。。惨。。。
比较少上啊。

 

M

mantousoft

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-09

• #9

我来了，那个地址无法下载，他的主页好像页上不去，不知道怎么回事
等我研究研究先，快出来了。最近忙学校的一个数据库程序
所以……哎，命苦呀！！
经韬兄，QQ加了你，没见你上网，你到底什么时候在呀？

 

M

mantousoft

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-10

• #10

to 经韬兄,搞定了,下载了,也知道你的QQ了,有空聊聊

 

J

jingtao

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-10

• #11

mantousoft:
呵呵，我最近在研究MFC，发现比SDK的确是方便很多。不过还是没有VCL封装的好。

 

M

mantousoft

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-11

• #12

发现加密的程序只是改了AddressOfEntryPoint 的值，在末尾加了一些：）

 

K

Kingron

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-11

• #13

>>发现加密的程序只是改了AddressOfEntryPoint 的值，在末尾加了一些：）

赫赫,我也是这么想的.问题是怎么计算新的AddressOfEntryPoint 值?怎么在你的程序完成的时候
Jmp到原来的?而且应该修改段表吧?这个就更加复杂乐~~~~~~~

 

M

mantousoft

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-11

• #14

to jingtao
如果是汇编，mincer的主页上有源代码，不过我看了那篇文章无数遍，还是有难度：）
不知道你是不是有什么信的见解，给我来信交流交流，QQ上总是不见你。

 

J

jingtao

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-11

• #15

to mantousoft>>
是汇编啊,他主页上的只是部分代码. 全部的代码我手里有一份,不过,他说他花了很多心血,
所以叫我不对外公布, 呵呵,我也没有办法.
我不想在这方面花过多时间,因为样样通,样样松. 如果在这方面超越不过别人,那么就不要
浪费太多时间在上面,人不可能是全才的-------一家之言
可能我们之间的时间差我也没有在QQ上看到你啊. 我的呢称改为"忧郁的屠夫"了.

 

M

mantousoft

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-12

• #16

to jingtao
从新加了，我去找mincer谈谈，看能不能搞过来
要不然我只有苦苦研究了：）

 

J

jingtao

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-12

• #17

to mantousoft>>
其实你也可以拿UPX的代码来看看的.

 

M

mantousoft

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-12

• #18

to jingtao
哪里有upx的代码，快点告诉我呀：）
急呀，我要考试了，快没有时间了：）

 

J

jingtao

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-12

• #19

to mantousoft>>
UPX 的主页有啊,地址我忘记了

 

M

mantousoft

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-06-13

• #20

找到了，正在下载：）