怎么修改EXE使你的DLL与EXE融为一体实现永久内存

资源介绍：百度，永久注入到内存中的DLL，论坛上的EXE输入表已经进行了很多更改，以长时间注入DLL，但是要这样做，您必须放置一个DLL在EXE文件目录中，该目录看起来不愉快且令人讨厌。删除后，它将无法运行。我今天很无聊。我将告诉您如何修改EXE，以便可以将DLL和EXE集成在一起以实现永久性的内存加载。这是我不久前发现的工具：C32AsmOllydbgLordPE加上本节ZeroaddOC（偏移转换器）工具在Internet上拥有这些东西，每个人都应该拥有。我不会打包，或者文件太大，您自己也不会搜索///////////// ///////////////// /////////////////////////////////////////////////// ////////////////////////////////////以腾讯TT的修改为例。其他人则从其他人得出推论。首先，让我们用Black Moon编写一个测试DLL。这是我们的测试DLL，然后将其导入到经过修改的PELoader中。当然，我可以。跳过这一步，因为我是用黑月写的。如果您的DLL是通过Yilang静态或正常编译的，则无法跳过此步骤！要开始修改程序，我们首先复制一个腾讯TT程序，然后找到我们的加载函数Load。让我们看一下DLL及其总大小为134K。有点大让我们打包并压缩它。当然，不压缩也可以是40K。现在要小得多。让我们向EXE添加一个部分。该段略大于两个文件的总大小。我们在这里使用45K。这是添加细分工具。然后，我们使用LordPE打开文件以查看新的段地址。这33c000是新段的物理地址。我们用C32打开它。文件加载EXE，DLL和加载函数跳转到我们的新部分，以复制所有DLL数据。我们记下地址，然后将DLL数据复制到加载函数中。最后保存文件并打开OC。将物理地址转换为内存地址DLL物理地址：0033c000内存地址：00749000加载函数的物理地址：00345a30内存地址：00752A30我们使用OD加载程序，我们记下了原始入口点地址，原始入口点：00563BA4现在我们进入新部分的位置，移到最后一个零区域，这将作为我们的新入口点：00753297我们必须在此处编写以下代码：push 00749000call 00752A30jmp 00563BA4并保存程序。

。现在是真正的最后一步。用LordPE打开并用OD修改程序。现在，我们需要将入口点修改为新的入口点。我们使用入口点地址00753297减去基址00400000来获得新的入口点偏移地址353297，我们在第一个框中填写“保存”，您就完成了！ ！好的，现在让我们测试程序！ ！哈哈成功加载！该程序正常运行！本教程结束了！ ！具体操作步骤如下，可以看一下//////////////////////////////////// ///////////////////////////////////////////////////// ///////////////////////////////////////////////////// ///////////////////////////////////////////////////// ////////////////////////////////////// //////////////////////////////////////// /////////////////////操作步骤：1、准备DLL，导入修改后的PELoader，然后重新启动“使用Black Moon编译DLL”（此步骤（如果您的DLL不是使用Yi语言静态编译的，则可以跳过）。 2、检查新编译的DLL和加载函数加载文件的总大小，然后打开“添加节工具Zeroadd”，向EXE文件添加一个新节（任何名称），新节的大小较大比DLL和加载功能Load要大。文件的总大小可能会稍大。 3、打开LordPE，加载EXE，然后检查新添加部分的物理地址。 4、打开C32Asm，加载EXE，DLL，加载功能加载，复制DLL，加载功能加载到新添加的部分，并记下DLL的物理地址和加载功能。

5、打开OC，然后将DLL的物理地址和已加载的函数转换为内存地址。 6、用Ollydbg加载EXE，并写下EXE的原始入口点地址。然后在您新添加的部分中找到某个零区域，并在零区域中编写以下汇编代码：推送DLL内存地址//这里是新的入口点调用加载功能加载内存地址Jmp EXE原始入口点记下新的入口点（即“推DLL内存地址”的代码所在的内存地址）。 7、再次打开LordPE，加载EXE，检查基地址（通常为0040000 0)，从新入口点的内存地址中减去基地址以获得新入口点地址的偏移量，然后将其输入LordPE的第一个在框中，保存，确认，测试修改后的EXE，您就完成了！摘要：以上步骤似乎很复杂，但是在理解了原理之后它们非常简单，实际上，复制DLL和load函数到EXE，然后修改EXE入口点。，使程序首先运行我们的加载功能以加载DLL，然后进行初始化。顺便说一下，关于代码修改的位置。某些程序在修改入口点后无法运行。这时，我们可以寻找该程序并在其启动时调用它，一旦API或内部函数，我们只需对其进行修改即可先调用我们的加载函数，然后执行该函数，然后跳回到原始位置。简而言之，修改后的

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shoujiruanjian/article-371244-1.html