精易论坛

标题: 怎样在内存中运行文件,不要写出文件就能运行。 [打印本页]
作者: 宇智波·奶嘴    时间: 2013-1-19 11:15
标题: 怎样在内存中运行文件,不要写出文件就能运行。
怎样在内存中运行文件,不用写出文件  就能运行。

就是将文件放到图片中,直接运行,不用写出来再运行。

有看过直接运行dll的,用的内存pe模块   实在没看懂。给讲解一下也可以。

不要用内存运行exe模块。那个必须脱壳才行。不方便
作者: 宝导龍    时间: 2013-1-19 11:15
手怎么这么贱啊?但是忘记给你说了!那个没有用内存运行,他有源码的,你好好看看!
是写到 取运行目录() 一个什么数据文件,你把那个数据文件 改名加上 .exe 就是你加广告的那个软件
在内存运行的那个模块真的只支持 部分简单壳子,为什么?具体我也不清楚。
但是有一是厉害的作者写的就是把 自己写的一个程序分割成几段
一段是:程序头 一段是:资源头 一段是:资源尾  一段是:程序尾
他们往往:就这样 程序头+资源头+需要添加的程序+资源尾+程序尾  = 新的程序
这个新的程序 里面就包含你加验证的那个程序
我也实在搞不懂,我做的那个YY验证 也是 内存运行,所以我表明了,不支持部分猛壳!
推荐你就使用你说的那个,写到文件+运行() 把写到文件的目录 写一个不寻常的目录
写出来了 置文件属性() 添加 系统属性 隐藏属性 这样好些,写出来的名字 推荐使用 系统较多的文件名字
还有就是,那个源码中的 写出来这句话,一定要 源码 文本加密,至于这么加密,你百度或者论坛!OK
作者: 永久禁言    时间: 2013-1-19 12:32
内存运行()
作者: 宇智波·奶嘴    时间: 2013-1-19 15:07
永久禁言 发表于 2013-1-19 12:32
内存运行()

都惊动版主大人了找了很久都没有找到答案·~发现很多人也在找。内存运行()这个命令是API的命令还是模块里的命令。一定给个详细一点的,真的研究好几天了·~都没有结果了
作者: 宇智波·奶嘴    时间: 2013-1-19 15:20
永久禁言 发表于 2013-1-19 12:32
内存运行()

看了很多内存运行exe模块都需要脱壳,我发现有一个内存运行dll的命令可以支持加壳dll,所以想把exe改成dll在内存中运行。

可是实在看不懂例程。求版主大人详解。


现在发现两个问题问的人很多,没有详细解答的。

一个是这个问题,就是操作外部软件的这种,不用写出就直接内存运行,很多新手喜欢这个。但是找不到答案

第二个是 外部后台模拟类   大漠  win消息  api  post消息和send消息。没有详细的讲解。

这两个问题是抢手问题,整个互联网包括其他易语言论坛都没有个真正详细解决新手进阶的教程。由于牵扯到了api,很多新手的望而却步了。果子的那个api教程讲过这个post和send。很好希望能够推荐出去,希望教程做的更详细一些,让更多的新手朋友和互联网上正在找答案的朋友能够在精易论坛找到自己的归宿。
作者: 宇智波·奶嘴    时间: 2013-1-19 16:04
@素顏じ亦傾城ジ @残血小羽 @小川先生 @①嗰亽の菰独 @紅顏じ亦沉淪ジ @我是好孩子


召唤几个牛人来看看
作者: 宇智波·奶嘴    时间: 2013-1-19 18:03
没人理我。自己顶起来·~~召唤也没召唤成功~~唉
作者: ℡泫小殇    时间: 2013-1-19 18:07
表明不会   顺便拿个下载点
作者: 宇智波·奶嘴    时间: 2013-1-19 18:10
℡泫小殇 发表于 2013-1-19 18:07
表明不会   顺便拿个下载点

大哥你可是vip啊~~不能就这么蒙混过关啊~~不是很难的问题。你召唤个高手来看看也行~~
作者: 浪涛    时间: 2013-1-19 18:37
我不会,路过帮顶..没到这一步应用.
作者: 宇智波·奶嘴    时间: 2013-1-19 18:39
浪涛 发表于 2013-1-19 18:37
我不会,路过帮顶..没到这一步应用.

谢谢了~~我说的那两个问题都是新手朋友们常用的,而且比较万能比较实用
作者: 宇智波·奶嘴    时间: 2013-1-19 21:31
看这流量应该有不少人同问或者感兴趣吧~~继续顶起来~~绝不灌水,只求答案!
作者: ljmst    时间: 2013-1-19 21:49
看看大侠们是怎么解答的{:soso_e116:}
作者: 宇智波·奶嘴    时间: 2013-1-19 22:14
ljmst 发表于 2013-1-19 21:49
看看大侠们是怎么解答的

呼唤很多大神了~~都没人理啊
作者: ljmst    时间: 2013-1-19 22:18
都不知道,大神们最近在忙啥
作者: 宇智波·奶嘴    时间: 2013-1-19 22:31
ljmst 发表于 2013-1-19 22:18
都不知道,大神们最近在忙啥

大神们都是冒个泡就不见了。哥们你知不知道这个思路,给点提示也行一起研究一下。
作者: 宇智波·奶嘴    时间: 2013-1-19 22:32
ljmst 发表于 2013-1-19 22:18
都不知道,大神们最近在忙啥

大神们都是冒个泡就不见了。哥们你知不知道这个思路,给点提示也行一起研究一下。
作者: ljmst    时间: 2013-1-19 22:33
咱也是半瓶子醋!见笑了
作者: 北凡    时间: 2013-1-19 22:36
我来给你说个最佳答案  答案就是不可能   你只可以伪装 或者写出 或者写成驱动  用命令也不可能是完全内存运行
作者: 宝导龍    时间: 2013-1-19 23:32
在内存中运行 不支持 猛壳,部分简单壳子 还可以!
作者: 宇智波·奶嘴    时间: 2013-1-19 23:52
?X? 发表于 2013-1-19 22:36
我来给你说个最佳答案  答案就是不可能   你只可以伪装 或者写出 或者写成驱动  用命令也不可能是完全内存运 ...

Shielden壳是猛壳吗?高手给个例程吧,实在求了很久了~~
作者: 宇智波·奶嘴    时间: 2013-1-19 23:53
宝导龍 发表于 2013-1-19 23:32
在内存中运行 不支持 猛壳,部分简单壳子 还可以!

给做一个加Shielden壳可以内存运行的例程吧。高手给个详细一点的讲解吧~~
作者: 54354354    时间: 2013-1-19 23:54
打打酱鸭
作者: 宇智波·奶嘴    时间: 2013-1-20 00:18
54354354 发表于 2013-1-19 23:54
打打酱鸭

多谢兄弟顶起~
作者: 宝导龍    时间: 2013-1-20 00:18
疯狂奶嘴 发表于 2013-1-19 23:53
给做一个加Shielden壳可以内存运行的例程吧。高手给个详细一点的讲解吧~~

朋友,我也不会!不好意,我也是菜鸟!
作者: 北凡    时间: 2013-1-20 10:15
疯狂奶嘴 发表于 2013-1-19 23:52
Shielden壳是猛壳吗?高手给个例程吧,实在求了很久了~~

Shielden和 甲壳都是猛壳  表示能力有限 如果我会破J了的话  第一时间要做两件事  一件事给你解答 第二件我打算买一套正版壳 做完程序放出去 然后等人悬赏破J  把钱赚回来
作者: 宇智波·奶嘴    时间: 2013-1-20 10:25
?X? 发表于 2013-1-20 10:15
Shielden和 甲壳都是猛壳  表示能力有限 如果我会破J了的话  第一时间要做两件事  一件事给你解答 第二件 ...

大哥你实在是太幽默了

其实是这样的,我看到一个给别人软件加广告的软件,他可以加任何软件的。而且生成后就一个软件,运行时也没有写出 也没有写出再删除这样的操作,所以就感觉是内存中运行的,但不知道原理。也可能他写出了写到别的地方隐藏起来了,关闭时再删除了。但是看到过有内存中运行dll,和内存中运行exe的模块,就觉得这是可行的,就研究一下。好像是都转化成字节集,然后怎么加起来,然后写出成为一个软件再运行,就会先运行第一个,再运行第二个,大哥你看看这样子能搞定不?
作者: 宇智波·奶嘴    时间: 2013-1-20 10:26
宝导龍 发表于 2013-1-20 00:18
朋友,我也不会!不好意,我也是菜鸟!

好的~~谢谢兄弟帮顶帖子
作者: 北凡    时间: 2013-1-20 10:30
疯狂奶嘴 发表于 2013-1-20 10:25
大哥你实在是太幽默了

其实是这样的,我看到一个给别人软件加广告的软件,他可以加任何软件的 ...

你要这么说的话  那方式可就多了 他可能直接把原EXE文件给修改了  检验方法是找个MD5文件校验器 查看生成前后exe有没有变化  有变化则是修改 不是加载     另外一种是挂DLL  HOOK住程序某些消息 加载模块 同样也需要修改部分程序  我觉得修改原EXE的可能比较大  你找个校验器试下
作者: 北凡    时间: 2013-1-20 10:34
另外我上传个软件 你研究一下 看这方面有没有思路
还有 你刚才说 怀疑软件生成了文件又删除  只是不知道释放目录  你可以用监视硬盘读写的软件  来试试看 如果真是这么做的 就可以找到释放的目录

reshacker-v3.4.0.79.rar

454.38 KB, 下载次数: 9
作者: 宇智波·奶嘴    时间: 2013-1-20 10:40
?X? 发表于 2013-1-20 10:30
你要这么说的话  那方式可就多了 他可能直接把原EXE文件给修改了  检验方法是找个MD5文件校验器 查看生成 ...

88C3694514AFF0E35814681F7A747B95
B6F6F0D3A2927DAF2D1311EBBB484129

不一样啊~,加载怎么加载?有没有简单一点的方法?
作者: 北凡    时间: 2013-1-20 10:47
简单的也有 创建rar压缩包自解压程序  里面一共三个程序 A是别人的软件 B是你的广告  C是你用易语言写的 启动时运行A和B  把三个打一个压缩包做成自解压 双击后直接释放到隐藏目录 运行C  C运行AB 即可完成
作者: 北凡    时间: 2013-1-20 10:47
自解压的图标 可以用刚才我给你的那个工具 换成其他图标
作者: 宇智波·奶嘴    时间: 2013-1-20 10:58
?X? 发表于 2013-1-20 10:47
自解压的图标 可以用刚才我给你的那个工具 换成其他图标

监听到了,果然把原文件释放写到了一个地方
这是路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
这是文件名:$3127.exe

前面的这个$符号是干啥用的?这个文件夹里还有很多带这种符号的文件。
看来我高估这个软件了……

大哥给做个易语言操作自解压的例子吧,这样讲我只会手动操作,用易运行怎样实现呢?这种自解压的壳好像是报毒的,以前试过。现在不知道怎么样,当时就是加了一个电子书,就是txt文件的东西就报毒了。但是还是想学习~

大哥我看到你下面的签名被吓到了,编程就算了,AI也会啊~~你全能了~
作者: 宇智波·奶嘴    时间: 2013-1-20 11:05
?X? 发表于 2013-1-20 10:47
自解压的图标 可以用刚才我给你的那个工具 换成其他图标

我想起来了~~那个软件是根据这个做的,界面都差不多,加了几个功能就是了

http://125.confly.eu.org/forum.php?mod=viewthread&tid=13613302

大哥你给看看这个是啥意思,我硬是没看懂他写的意思。

顺便附上两个相关的源码,大哥都给一起看看吧

讲解一下肯定很多人都想学习这个东西的

内存中运行程序简单版.zip

126.6 KB, 下载次数: 25

内存中运行dll.rar

50.82 KB, 下载次数: 17
作者: 宇智波·奶嘴    时间: 2013-1-21 16:37
顶起~~再次期待高手的解答
作者: 宇智波·奶嘴    时间: 2013-1-21 16:39
@冰点 @永久禁言 各位老大帮帮忙
作者: 宇智波·奶嘴    时间: 2013-1-21 17:20
这个问题有这么难吗?高手们不会也进来说声不会啊难道是我的币给的太少吗?我可以加钱的!
作者: 宇智波·奶嘴    时间: 2013-1-21 20:28
最后再顶一次希望能有高手解决一下
作者: 宝导龍    时间: 2013-1-22 13:12
疯狂奶嘴 发表于 2013-1-21 20:28
最后再顶一次希望能有高手解决一下

今天把你的帖子看完了,你发的那个 加广告的 是以前比较不错的  资源尾插入数据,然后操作的 一个例子!
我有一个程序也是这样做的:
作者: 宝导龍    时间: 2013-1-22 13:13
点快了,直接回复了- -!
我的那个软件地址:http://125.confly.eu.org/thread-13627626-1-1.html
作者: 宇智波·奶嘴    时间: 2013-1-22 13:22
宝导龍 发表于 2013-1-22 13:13
点快了,直接回复了- -!
我的那个软件地址:http://125.confly.eu.org/thread-13627626-1-1.html

兄弟,你这个软件是做什么的?小弟不怎么玩YY,不明白。而且是成品了,我也不知道原理~~求讲解。行得通分就给你了~~
作者: 宝导龍    时间: 2013-1-22 13:24
疯狂奶嘴 发表于 2013-1-22 13:22
兄弟,你这个软件是做什么的?小弟不怎么玩YY,不明白。而且是成品了,我也不知道原理~~求讲解。行得通分 ...

原理 和你 说的 那个 给软件添加广告,大体差不多,但是和他的区别就是我的是 内存运行添加的软件,他的不是,他是写出来的。我有回复 说了的,内存运行 不支持猛壳的!
作者: 宇智波·奶嘴    时间: 2013-1-22 13:36
宝导龍 发表于 2013-1-22 13:19
手怎么这么贱啊?但是忘记给你说了!那个没有用内存运行,他有源码的,你好好看看!
是写到 取运行目录() ...

这个我也是用了 ?X? 大哥给工具监控到了那个软件的做法,也是这样做的,我也是无奈最后放弃了,也只能这样了。但是在网上看到有人可以内存运行加壳后的DLL,就想将软件改后缀成DLL再内存运行。一直想弄的完美一点,到时候也好给其他新手朋友分享一下。

还有最后就是  写到文件的源码加密给讲一下吧,我真的是不会。也没听说过,要汇编吗?很难吗?
作者: 宝导龍    时间: 2013-1-22 13:38
不难- -!,直接 论坛 文本加密 出来一大堆 有模块 和源码自己选
作者: 宇智波·奶嘴    时间: 2013-1-22 13:41
宝导龍 发表于 2013-1-22 13:38
不难- -!,直接 论坛 文本加密 出来一大堆 有模块 和源码自己选

我看各种加密后的文本各不相同,写在源码里易语言能看的懂能运行吗?
作者: 宝导龍    时间: 2013-1-22 13:43
你说的那个 内存运行DLL  这个嘛- -!呵呵
百度吧,大体原理是,获取DLL的 公开函数调用句柄 也就是DLL在内存资源中的 开始的地址
然后用 调用函数()这个命令 调用它,这个必须要是自己的DLL才可以,别人的程序,你直接改成DLL后缀 是不行的,因为你不知道 公开的调用函数的名字!
作者: 宝导龍    时间: 2013-1-22 13:44
疯狂奶嘴 发表于 2013-1-22 13:41
我看各种加密后的文本各不相同,写在源码里易语言能看的懂能运行吗?

不能运行 别人写 文本加密 干何用?
作者: 宇智波·奶嘴    时间: 2013-1-22 13:47
宝导龍 发表于 2013-1-22 13:44
不能运行 别人写 文本加密 干何用?

宝导龍   大虾,您还是一步到位给讲讲怎么操作吧~~小弟就红包奉上了~~我学会了也出个什么东西分享给其他不会的兄弟
作者: 宝导龍    时间: 2013-1-22 13:55
我给你说一下原理吧,文本加密,只是对源码中的文本加密而已,不是加密后别人就看不到了,只是OD看不到C32看不到,防了一个作用防止别人通过OD查看字符串发现你写出了文件而已。
所以,你没必要纠结。
举个例子,文本加密 模块 中一般有2个 公开 借口
1:文本加密()--其中有2个参数:(待加密的文本,加密的密码),返回一个加密后的文本型数据
2:文本解密()--其中有2个参数:(待解密的文本,加密时候用的密码),返回一个解密后的文本型数据
例子:你的文本:“你好吗?”
调用:加密后文本=文本加密(“你好吗?”,“123456”)
现在  加密后文本 就不是 “你好吗?”了,可能就是“sadasdSF213FSDF123”一串你认不到的字符
然后你在你的 写到文件(取系统特定目录()+"\"+解密文本("sadasdSF213FSDF123","123456"))
这样别人OD字符串查找显示的就是:sadasdSF213FSDF123 你说别人知道你写出的文件是什么不啊?
大概就是这样的!
作者: 宇智波·奶嘴    时间: 2013-1-22 14:00
宝导龍 发表于 2013-1-22 13:55
我给你说一下原理吧,文本加密,只是对源码中的文本加密而已,不是加密后别人就看不到了,只是OD看不到C32看 ...

这个意思啊~~懂了~~可不可以把中文命令也加密了。比方说  加密(取运行目录())    得到hjihnjkkop

运行时    写到文件(解密(hjihnjkkop)+“\123.txt”)

这种样子的~~
作者: 宇智波·奶嘴    时间: 2013-1-22 14:01
宝导龍 发表于 2013-1-22 13:55
我给你说一下原理吧,文本加密,只是对源码中的文本加密而已,不是加密后别人就看不到了,只是OD看不到C32看 ...

小小红包已奉上,请笑纳~~
作者: 宝导龍    时间: 2013-1-22 14:02
疯狂奶嘴 发表于 2013-1-22 14:00
这个意思啊~~懂了~~可不可以把中文命令也加密了。比方说  加密(取运行目录())    得到hjihnjkkop

...

你还要把 后面的那个 "\123.txt" 也一起加密了,这样还要好些
作者: 宇智波·奶嘴    时间: 2013-1-22 14:03
宝导龍 发表于 2013-1-22 13:24
原理 和你 说的 那个 给软件添加广告,大体差不多,但是和他的区别就是我的是 内存运行添加的软件,他的不 ...

加密变量的名字行不行呢?
作者: 宝导龍    时间: 2013-1-22 14:05
疯狂奶嘴 发表于 2013-1-22 14:03
加密变量的名字行不行呢?

不可以, 文本加密 ,何为文本,只可以加密文本,变量 OD是看不都的,但是大牛会OD反调试 看你调用是 API判断你是不是调用了 写出文件 API就知道你写出文件了,但是他也不知道你写到哪里去了,写出来的文件,你一定要 置系统属性 (隐藏 系统)
作者: 宇智波·奶嘴    时间: 2013-1-22 14:10
宝导龍 发表于 2013-1-22 14:05
不可以, 文本加密 ,何为文本,只可以加密文本,变量 OD是看不都的,但是大牛会OD反调试 看你调用是 API ...

好的完全明白了·~谢谢这位大哥了·~
作者: 宇智波·奶嘴    时间: 2013-1-22 14:13
疯狂奶嘴 发表于 2013-1-22 14:10
好的完全明白了·~谢谢这位大哥了·~

置文件属性是写出来后再置的吧

运行 (“attrib +a +s +h +r ” + 编辑框_文件路径.内容, 假, )

这个命令行吗?
作者: li864150013    时间: 2013-1-22 14:24
顶一定顶
作者: 茄子君·    时间: 2013-1-22 15:59
提示: 作者被禁止或删除 内容自动屏蔽
作者: 宇智波·奶嘴    时间: 2013-1-22 18:29
宇智波·画意 发表于 2013-1-22 15:59
既然问题都解决了,我还是回复个吧!

别啊没有真正解决啊都是宇智波一族的应该强力的,佐助大哥不理我,你就帮小弟解决一下吧

就是听说过  做一个僵尸程序运行然后将内存加入运行。给小弟指点一二
作者: 茄子君·    时间: 2013-1-22 19:50
提示: 作者被禁止或删除 内容自动屏蔽
作者: 宇智波·奶嘴    时间: 2013-1-22 19:59
宇智波·画意 发表于 2013-1-22 19:50
我是打酱油的,别理我!

别走啊~~酱油什么时候打都行,解决玩问题再走,给点思路也行,一楼版主说的 内存运行()  这是什么意思?难道就是一个坑吗?  酱油小弟有,等下慢慢打~~
作者: 茄子君·    时间: 2013-1-22 20:14
提示: 作者被禁止或删除 内容自动屏蔽
作者: 宇智波·奶嘴    时间: 2013-1-22 20:22
宇智波·画意 发表于 2013-1-22 20:14
OK!告诉你吧!你试试CMD吧!、、、

cmd  怎么玩?运行() 吗?是不是先运行一个僵尸软件,然后打开内存写东西?还是打开进程写东西?我要是把两个程序转化成字节集然后加到一起可以达到先运行第一个后运行第二个的效果吗?
作者: 茄子君·    时间: 2013-1-22 21:34
提示: 作者被禁止或删除 内容自动屏蔽
作者: 洇嫒洏嫒_芐页    时间: 2013-1-22 21:41
莫非是内存注入dll?再激活???或者直接写到文件 运行dll 实际上是exe
作者: 宇智波·奶嘴    时间: 2013-1-22 22:26
洇嫒洏嫒_芐页 发表于 2013-1-22 21:41
莫非是内存注入dll?再激活???或者直接写到文件 运行dll 实际上是exe

对啊对啊~~怎么玩~碰道明白人了大侠快给小弟讲讲,两个都讲讲~
作者: 宇智波·奶嘴    时间: 2013-1-22 22:26
宇智波·画意 发表于 2013-1-22 21:34
对不起!我已经告诉你了!  CMD   要再多的答案没有!

好吧~~多谢



欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4