更新TR模块，子类化 主线程CALL 内存加载...X32/X64同步支持

dnxl

青峰随处飘 发表于 2025-2-14 12:58
Target_Memload_dll里有一个语句我不是很懂，展开PE文件填充文件重定位后有一句
写到内存(1018304599, P ...

也就是给内存加载的DLL做个标志，后面用来判断内存DLL是否已存在

青峰随处飘

dnxl 发表于 2025-2-14 02:11
填充导入表：
PE文件要执行，它要依赖很多系统API函数，比如kernel32.dll，user32.dll中的函数等等（有可 ...

昨天研究一天没发现错误，今天看了半天原来是我封装的写入内存的函数，里面实现参数没填好一直写入固定的数值已经解决了 返回值也正确了

青峰随处飘

dnxl 发表于 2025-2-14 02:11
填充导入表：
PE文件要执行，它要依赖很多系统API函数，比如kernel32.dll，user32.dll中的函数等等（有可 ...

Target_Memload_dll里有一个语句我不是很懂，展开PE文件填充文件重定位后有一句
写到内存(1018304599, PPE, 4)
请问这条语句的具体作用是什么?

dnxl

青峰随处飘 发表于 2025-2-13 20:47
大佬出个教程讲讲 填充导入表 jz重定位 吧 我按着你源码在c#写 远程call 是可以顺利实现的 但是我写目标_ ...

填充导入表：
PE文件要执行，它要依赖很多系统API函数，比如kernel32.dll，user32.dll中的函数等等（有可能还会依赖第三方DLL函数）
导入表就存储PE文件所依赖的函数在当前进程中的地址，如果依赖的DLL还未在当前进程加载还要先加载它依赖的DLL。
不同系统，系统API函数在内存中的地址是不一样的，为了程序能兼容不同系统运行，在它加载到内存后，首先要对导入表进行填充，
先读取表中它要调用的函数名或序号，然后取到函数在当前进程中的地址写入表中指定位置，它才能正确的CALL到函数。

jz重定位：
PE文件都有一个默认加载地址，它的功能CALL有些代码是直接寻址的，都是以默认加载地址为基准，编译时这些数值都写死在里面
但是在真正运行时它不一定能加载到默认地址上，所以在加载到内存运行前要先判断它加载的地址是不是默认地址，如果不是必须要把编译那些写死的数值改掉，
重定位表就记录着哪个地方的数值需要改动，改成什么得看真实加载地址和默认地址的差值。不然，运行时代码会跳错地地方或者CALL地方肯定是会崩的

内存加载主要就是改这两个表，怎么找到这两个地方，怎么改网上教程也不少了，讲的也详细

而我用的方法是按远程进程的地址在本地修复后写入远程进程运行，其原理都是一样的

青峰随处飘

dnxl 发表于 2024-10-23 00:52
实战，X64远程CALL（主线程）

大佬出个教程讲讲 填充导入表 jz重定位 吧 我按着你源码在c#写 远程call 是可以顺利实现的 但是我写目标_窗口线程Call 里面需要提前注入你那个dll Target_Memload_dll call这个dll入口的时候一call就崩溃

dnxl

lhpa 发表于 2025-1-23 17:30
启动进程注入DLL要是能把dll路径改成内存加载就太好了。

已更新，不过不是所有DLL都支持内存加载

dnxl

模块.rar (1.32 MB, 下载次数: 51)

2025-2-13 15:30 上传

点击文件名下载附件

2025.02.13
增加了一些功能函数，具体增加了什么也忘记，部分有可能未完善


模块中打包的DLL源码 delphi xe8 写的
TEST.rar (105.96 KB, 下载次数: 22, 售价: 5 枚 精币)

2025-2-14 00:31 上传

点击文件名下载附件

xiaolin666

支持作者，模块非常强大

lhpa

启动进程注入DLL要是能把dll路径改成内存加载就太好了。

ganxixin

注入到进程里，指针到整数 怎么读偏移。+偏移 就不对了