Добрый вечер форумчане !
Не могли бы Вы мне подсказать как склеить два PE EXE файла в один и чтобы при запуске управление переходило второму EXE.
Я делаю следующее:
1. Открываю EXE.
2. Записываю в него машинный код другого, в последнюю секцию как виртуально так и физически.
3. Меняю аттрибуты данной секции на чтение, исполнение и запись.
4. Устанавливаю AddressOfEntryoint на точку входа внедряемого EXE.
5. Увеличиваю SizeOfImage, SizeOfRawData последней секции, Misc.VirtualSize последней секции на тело внедряемого EXE.
Но по какой-то не понятной мне причине EXE просто портится и появляется отладчик Windows.
Этот вопрос я рассматриваю категорически в образовательных целях.

Пожалуйста дайте ответ или ссылочку на данный вопрос.
[email protected]

а импорты?

А что с таблицей импортов делать ?

Кто нибудь поможет разобраться с данным вопросом

1) во первых у любого ЕХЕ есть image base тоесть адрес на который этот ехе надо загрузить для корректной работы
у тебя этот адрес для второго ехе явно не соблюдается
2) нужно заполнить Import table у второго ехе так как она у тебя остается пустой
3) при загрузке ехе в память виртуальный адрес секций вовсе не равен физическому смещению в файле

тоесть что надо делать
после загрузки первого ехе в память сдвинуть второй ехе на image base
разложить его секции по нужным смешениям относительно image base
заполнить таблицу импорта и подгрузить необходимые библиотеки

ну вот в 2х словах все

У меня имеются 2 exe и ImageBase одиноковы - 0x00400000. Тоесть получается так, что как только первый EXE закинут по адрессу 0x00400000 нужно сдвинуть 2 exe на 0x00400000. Я так понял ? Можно какой-нибудь примерчик демонстрирующий эту реализацию ?

upx исходники

Большое спасибо oleg1973. Щас буду разбираться, надеюсь что наконец-то решу вышепоставленную проблему.

Плиз помагите разобраться с данным кодом их UPX.

А именно я не пойму, зачем прибавлять к всему образу файла каталог данных, и что дает число 65536 ? Может это под какую-то заглучшку. Вобщем хелп ми .

upx и не только он а почти все пакеры ехе файлов работают примерно так:
создается ехешник с image base как у пакуемого файла
в этом ехе делается 2 секции
секция номер 1 имеет физический размер = 0 а вот виртуальный размер равный сумме всех секций пакуемого файла с учетом их выравнивания в памяти при загрузке
секция номер 2 является непосредственно кодом распаковщика + упакованные данные
далее при запуске такого файла происходит следующее
секция номер 1 "резервирует" место для распакованных данных
распаковщик распаковывает данные и переносит их в секцию номер 1
затем заполняет таблицу импорта
и передает управление на точку входа в оригинальном файле (ну еще иногда освобождает память занятую секцией номер 2)

а чито делает число 65536 я не знаю )))

Большое спасибо за помощь, но у меня есть вопросы.

1. Этот exe'шник создается физически(На диске) или в адресном пространстве данного процесса ?
2. Точка входа должна указывать на оригинальную точку или нет ?

ехешник делается на диске
точка входа указывает на нащу процедуру распаовки и так далее

А при склеивании тоже нужно создавать EXE на диске ?

естестно
береш файл
ну к примеру пакуеш его там какнить
потом нужно сделать ехе в котором будет
1) распаковщик
2) пакованый файл

вот структура ехе после упаковки его upx
секция upx0 имеет физический размер = 0 в ней будет потом лежать распакованый ехе

У меня есть 2 вопроса

1)Что возвращяет эта функция ? Адреса функций или названия ?
2)Точка входа при сжатии UPX указывает на какую функцию ?