資源介紹：永久注入內存中的DLL百度、論壇上已經有很多修改EXE輸入表來用久注入DLL的了但這樣做就必須放置一個DLL在EXE文件的目錄下 看起來不順眼而且萬一被刪了就無法運行了今天無聊 我來給大家講一下怎么修改EXE 使你的DLL與EXE融為一體實現永久內存加載 這是前不久我發現的一種方法使用的工具：C32AsmOllydbgLordPE加區段工具ZeroaddOC(偏移量轉換器)這幾個東西網上都有 大家應該也都有 我就不打包了要不然文件太大了 沒有的自己去搜吧////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////我們以修改騰訊TT為例 其他大家舉一反三 首先 我們先用黑月寫一個測試DLL好了這個就是我們的測試DLL 然后將它導入我修改后的PELoader中，當然 我可以略過這一步，因為我是用黑月寫的 如果你的DLL是用易語言靜態或普通編譯而成的就不能略過這一步好了！開始修改程序 我們先復制一個騰訊TT程序然后找到我們的加載函數Load 我們看看DLL和它的總大小 134K 有點大 我們加殼壓縮一下 當然不壓縮也可以 40K 現在小很多了我們給EXE加個區段 要比這兩個文件總大小稍大 我們這里就要45K吧這個就是加區段工具 加成功了然后我們用LordPE打開文件 看看新的區段地址這個33c000就是新區段物理地址 我們用C32打開文件載入EXE與DLL以及加載函數跳到我們的新區段 將DLL數據全部復制進去我們記下地址 然后在DLL數據后復制入加載函數最后保存文件 打開OC 將物理地址轉換成內存地址DLL物理地址：0033c000 ? 內存地址：00749000Load函數物理地址：00345a30 ? 內存地址：00752A30我們用OD載入程序我們記下原入口點地址原入口點:00563BA4 ? 就是這里我們現在進入我們的新區段里我們移到最后的零區域內這里將作為我們的新入口點新入口點：00753297我們要在這里寫下以下代碼：push 00749000call 00752A30jmp 00563BA4然后保存程序。。現在才是真正的最后一步 用LordPE打開用OD修改后程序我們現在要修改入口點為我們的新入口點我們用入口點地址00753297減去基址00400000 就得到新的入口點偏移地址353297我們填入第一個框中 保存 大功告成！！好 現在我們來測試一下程序！！哈哈 加載成功！程序正常運行！ 教程完畢！！具體的操作步驟如下 大家可以慢慢看////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////操作步驟：1、準備好你的DLL，導入我修改后的PELoader，重新用黑月編譯出一個DLL(這步可以略過，只要你的DLL不是用易語言靜態編譯的就可以)。2、查看新編譯好的DLL與加載函數Load文件的總大小，然后打開"加區段工具Zeroadd"，給EXE文件新增加一個區段(名稱任意)，新區段大小比DLL與加載函數Load文件的總大小稍大即可。3、打開LordPE，載入EXE，查看新加區段的物理地址。4、打開C32Asm，載入EXE、DLL、加載函數Load，把DLL、加載函數Load復制到新加區段，記下DLL、加載函數的物理地址。5、打開OC，將DLL、加載函數的物理地址轉換成內存地址。6、用Ollydbg載入EXE，記下EXE原入口點地址。然后找到你新加區段的某段零區域，在零區域寫下以下匯編代碼：Push DLL內存地址 ? ? ? ? //此處為新入口點Call 加載函數Load內存地址Jmp EXE原入口點記下新入口點(也就是"push DLL內存地址"這句代碼所在內存地址)。7、再次打開LordPE，載入EXE，查看基址(一般是00400000)，用新入口點內存地址減去基址，就得到新的入口點地址的偏移，輸入到LordPE的第一個框中，保存、確定，測試修改后的EXE，大功告成！總結：上面這些步驟看似復雜，其實明白原理后很簡單。其實就是將DLL與加載函數復制到EXE中，然后再修改EXE入口點，使程序先運行我們的加載函數加載DLL后再進行初始化。附帶說明一下，關于代碼修改的位置。有些程序修改入口點會導致不能運行，這時候我們可以尋找一下這個程序啟動的時候才會調用一次的API或內部函數，我們只要把它修改成先調用我們的加載函數，然后再執行函數，并跳回原來的位置。總之修改的