加密狗技术网 加密狗破解 把exe当dll来调用破解的技巧方法

把exe当dll来调用破解的技巧方法

调用第三方exe程序里面的函数,一直是大家所向往并已经讨论过不少的问题,其方法大体有三类: 1、让第三方exe…

调用第三方exe程序里面的函数,一直是大家所向往并已经讨论过不少的问题,其方法大体有三类:

1、让第三方exe启动,然后自己程序注入进去调用之;

2、让第三方exe启动,然后远程读入其内容;

3、把第三方exe,当作DLL进行加载,并调用里面的函数。

前2个方法容易实现,但无法摆脱让exe运行的缺点,今天我们讨论第三条思路,把exe向dll一样加载,然后调用里面的函数。

就此,主要面临以下三个问题:

1、导入表修复;

2、重定位dll数据,也就是exe数据。

其实这2个问题归结起来都是重定位问题,这里就不再解释重定位原理和原因了。

有些人认为PE文件重定位,就要搞重定位表,exe要输出函数,就要搞导出表,这些其实是不必要的,只要理解了他们的原理,自己实现反而更方便。当然,另外一点原因是我现在基本忘却PE结构了。以下方法不涉及给exe增加导出表或者重定位表。

举例来说碰到的问题和解决思路,exe里面有如下代码:

        push    425570                           ; /kernel32.dll
        call    dword ptr [425280]               ; \GetModuleHandleA

这个很正常,也很简单, 0x425570 指向一个字符串, [425280] 里面是 GetModuleHandleA 函数指针,也就是导入表内容。但如果把这个exe作为DLL进行LoadLibrary,你会发现这2行代码仍然如此,一点也没变,但却无法执行了,因为这时候涉及到的这2个指针,指向的内容已经不是我们预想的了,需要把它们重定位,才能让他们指向预期目的地。重定位方法也很简单:


1、 0x425570 ,这个地址,用当前自身模块基地址加上 0x25570 ,就是新的地址;

2、 0x425280 ,这个地址,用当前自身模块基地址加上 0x25280 ,就是新的地址;

理解了这一点,就知道我们需要作什么了。

口说无凭,动手为真,下面我们举例来进行说明。就采用壳狼最近写的antidebugger测试程序吧,当然没经过他的同意 :)

目的:加载 AntiDebug.exe,调用它的第一个标签里面的 Find Debugger 功能,里面有20多个选项,我们争取把它调用完!

调用函数:

简单跟踪以下,他这些反调试手段都在一个函数体内,调用方式如下:

00404FCC   .  50            push    eax
00404FCD   .  8BCB          mov     ecx, ebx        //这句无所谓,可以nop
00404FCF   .  E8 ECF1FFFF   call    004041C0

实现方式也很简单:

    hMod = LoadLibrary(ExePath);
   
    DWORD FindDebugerCall = (DWORD)hMod + 0x41C0;
   
    _asm{
        push 0xFFFFFFFF         //这里是调用标记,如果为这个参数,表示所有的反调试功能都选了
        mov  eax, FindDebugerCall
        call eax;
    }      


最终我们的目的就是要让上面这个函数正常运行。为此,我们要作以下大量工作。

一、修复输入表


    思路很简单,首先根据被加载dll的模块基地址,找到其导入表,然后根据其函数名,自己获取导入函数地址,重新填入到正常位置。
   
    在此感谢鸡蛋壳,让我在茫茫网海搜到了他的一些代码并加以改之。
   
    pDosHeader = (PIMAGE_DOS_HEADER)hMod;
    pNTHeaders = (PIMAGE_NT_HEADERS)((BYTE *)hMod + pDosHeader->e_lfanew);
    pOptHeader = (PIMAGE_OPTIONAL_HEADER)&(pNTHeaders->OptionalHeader);

    pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((BYTE *)hMod + pOptHeader->DataDirectory[1].VirtualAddress);

    while(pImportDescriptor->FirstThunk)
    {
        //获取dll名称
        char * dllname = (char *)((BYTE *)hMod + pImportDescriptor->Name);

        pThunkData = (PIMAGE_THUNK_DATA)((BYTE *)hMod + pImportDescriptor->OriginalFirstThunk);

        int no = 1;
        while(pThunkData->u1.Function)
        {
            if ((pThunkData->u1.Ordinal &  IMAGE_ORDINAL_FLAG) != IMAGE_ORDINAL_FLAG)
            {
                //获取函数名称
                char *funname = (char *)((BYTE *)hMod + (DWORD)pThunkData->u1.AddressOfData + 2);
                myaddr = (int*)GetProcAddress(GetModuleHandle(dllname), funname);
            }
           
            PDWORD lpAddr = (DWORD *)((BYTE *)hMod + (DWORD)pImportDescriptor->FirstThunk) +(no-1);

            MEMORY_BASIC_INFORMATION  mbi;
            VirtualQuery(lpAddr,&mbi,sizeof(mbi));
            VirtualProtect(lpAddr,sizeof(DWORD),PAGE_READWRITE,&dwOLD);
            WriteProcessMemory(GetCurrentProcess(),
                lpAddr, &myaddr, sizeof(DWORD), NULL);
            VirtualProtect(lpAddr,sizeof(DWORD),dwOLD,0);

            no++;
            pThunkData++;
        }

        pImportDescriptor++;
    }
   
    这个东西搞完,DLL(也就是加载的exe,后面都叫dll)里面的API和其他导入函数可以正常使用了。
   

二、重定位代码段指针


    重定位意义比较广泛,大体有三类数据需要重定位。
   
    1、代码段指针。比如我上面举例的 push    425570 ,这个0x425570是个字符串指针。再比如 mov     edi, dword ptr [425400] , 这里面的 0x425400,也是指针,也需要重定位;
   
    2、数据段指针。比如这个exe里面,用到了一些SEH结构,SEH结构里面含有指向函数体的指针,比如:
   
    SEH异常处理结构:

    0042BA94  E0 1C 40 00 E6 1C 40 00 00 00 00 00 FE FF FF FF  ?@.?@…..?

本文来自网络,不代表加密狗技术网立场,转载请注明出处:http://www.crackgou.com/pojie/219.html

作者: admin

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

联系我们

000-00000000

在线咨询: QQ交谈

邮箱: wolfree@qq.com

工作时间:8:00-23:00

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部