Okay, ich denke, dann werde ich mal dein Tutorial durcharbeiten.
Das heißt im Klartext, dass ich sooft ich die EXE als DLL lade, ich sie auch immer neu in den Speicher lade?!?
Ja gut, dann geht der Sinn wirklich verloren.
Irgendwie sind mir die Strukturen der PE-Dateien und die Speicherverwaltung(Zugriffe, was wird wann wie geladen) noch nicht wirklich klar...
Falls jemand von Euch noch hilfreiche Links oder Literaturvorschläge zu diesem Groß-Thema PE-Dateien, DLL, Speicher, COFF, o.ä. hat (also über google hinaus...), bin offen für Alles.

Zudem würde mich interessieren, ob es bereits ein Tool gibt, welches eine EXE nicht DISASSEMBLIERT, sondern vielmehr als Bytefolgen darstellt und vlt. grafisch einfärbt, um zu zeigen, was PE-Header, Resource, Programmstruktur ist.

Das Sahnehäubchen wäre natürlich das Programm zu starten und Live den dem Programm zugeteilten Speicher visuell (in einem Memo o.ä.) mitverfolgen zu können.

Wenn es sowas noch nicht gibt, dann würde mich persönlich der Ansatz zu so etwas reizen (Also was muss ich mir alles in der Anwendung besorgen, dass so etwas möglich ist).

Verbleibe dankend,

Brighty

Zumindest wenn sie tatsächlich als DLL geladen werden soll, was eben ein wenig anders abläuft als das Laden einer EXE.

Luevelsmeyer PE format

PE Explorer und 010 Editor seien dir wärmstens empfohlen.

Siehe Sysinternals (bspw. vmmap). Da gibt es einiges dazu, speziell für die neueren Windowsversionen. Wenn dir reicht den Speicher (des geladenen Programms) zu editieren, nochmals 010 Editor.

Vielen Dank!
Tja, es gibt eben nichts über die netten Leute der DP
Ich glaube, jetzt habe ich genug Lesestoff für langweilige Stunden.

Gute Nacht,

Brighty

Nun eigentlich ist das gar nicht so zwittrig.

Das Einzige, was einen wundern könnte, wäre eben, dass man in einer Exe Funktionen exportieren kann. Dies kann man einfach so erklären - das Portable Executable (PE) Format erlaubt das Exportieren SOWIE was ja eig. klar ist IMPORTIEREN von Funktionen nun einmal für beide Executables (Exe & Dll).

Der Rest:
der LoadLibrary Aufruf >>lädt die Executable (sich selbst) NICHT<<. Er schaut zuerst, ob das zu ladende "Modul" in der Modulliste schon vorhanden ist (Siehe PEB). Falls ja, erhöht es nur den Referenzzähler und liefert das Handle (was eig. mehr die Adresse des gemappten Moduls ist) zurück; mehr nicht! Falls es nicht vorhanden wäre, was ja nicht der Fall ist, da es ausgeführt wird, lädt es die Executable und mappt diese in den Speicherraum des Prozesses.

Interessanter wäre es zu probieren, ne andere Executable per LoadLibrary zu laden!

Ala

MfG

Und? Probiert? Zufrieden mit dem Ergebnis?

Mich erstaunt hingegen auch letzteres, also die Aussage des zweiten Satzes. Eine Exe, die implizit DLL-Funktionen mit sich Huckepack schleppt und diese exportiert und in der gleichen (ausfühbaren) Datei auch wieder importiert, kommt mir nämlich wie ein informationeller Inzest, oder, um mal einen Terminus einer anderen Wissenschaft einzuwerfen, wie eine Selbstbestäubung (oder allgemeiner: -befruchtung), also noch ein Quentchen schlimmer als Inzucht, vor. Daß so etwas möglich gibt, ergibt sich m.E. nicht zwangsläufig aus der Aussage des ersten Satzes.