c++ 在内存中加载 exe/dll (不使用CreateProcess、LoadLibrary 等 API)

最新推荐文章于 2024-05-28 10:57:11 发布
最新推荐文章于 2024-05-28 10:57:11 发布
阅读量4.8k 收藏 30
点赞数 5
分类专栏: C++功能函数
原文链接:https://www.write-bug.com/article/1968.html
版权

背景

在网上搜索了很多病毒木马的分析报告,看了一段时间后,发现还是有很多病毒木马都能够模拟PE加载器,把DLL或者是EXE等PE文件,直接从内存中直接加载到自己的内存中执行,不需要通过API函数去操作,以此躲过一些杀软的检测。

程序实现原理(以exe 为例,dll 同理)

  • 首先,在EXE文件中,根据PE结构格式获取其加载映像的大小SizeOfImage,并根据SizeOfImage在自己的程序中申请一块可读、可写、可执行的内存,那么这块内存的首地址就是EXE程序的加载基址
  • 然后,根据EXE中的PE结构格式获取其映像对齐大小SectionAlignment,然后把EXE文件数据按照SectionAlignment对齐大小拷贝到上述申请的可读、可写、可执行的内存中
  • 接着,根据PE结构的重定位表,重新对重定位表进行修正
  • 接着,根据PE结构的导入表,加载所需的DLL,并获取导入表导入函数的地址并写入导入表中
  • 接着,修改EXE的加载基址ImageBase
  • 最后,根据PE结构获取EXE的入口地址AddressOfEntryPoint,然后跳转到入口地址处继续执行

这样,EXE就成功加载到程序中并运行起来了。要注意的一个问题就是,并不是所有的EXE都有重定位表,对于没有重定位表的EXE程序,那就不适用于本文介绍的方法。

编码实现(exe)

    // 模拟PE加载器加载内存EXE文件到进程中
    // lpData: 内存EXE文件数据的基址
    // dwSize: 内存EXE文件的内存大小
    // 返回值: 内存EXE加载到进程的加载基址
    LPVOID MmRunExe(LPVOID lpData, DWORD dwSize)
    {
        LPVOID lpBaseAddress = NULL;
        // 获取镜像大小
        DWORD dwSizeOfImage = GetSizeOfImage(lpData);
        // 在进程中开辟一个可读、可写、可执行的内存块
        lpBaseAddress = ::VirtualAlloc(NULL, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
        if (NULL == lpBaseAddress)
        {
            ShowError("VirtualAlloc");
            return NULL;
        }
        ::RtlZeroMemory(lpBaseAddress, dwSizeOfImage);
        // 将内存PE数据按SectionAlignment大小对齐映射到进程内存中
        if (FALSE == MmMapFile(lpData, lpBaseAddress))
        {
            ShowError("MmMapFile");
            return NULL;
        }
        // 修改PE文件重定位表信息
        if (FALSE == DoRelocationTable(lpBaseAddress))
        {
            ShowError("DoRelocationTable");
            return NULL;
        }
        // 填写PE文件导入表信息
        if (FALSE == DoImportTable(lpBaseAddress))
        {
            ShowError("DoImportTable");
            return NULL;
        }
        //修改页属性。应该根据每个页的属性单独设置其对应内存页的属性。
        //统一设置成一个属性PAGE_EXECUTE_READWRITE
        DWORD dwOldProtect = 0;
        if (FALSE == ::VirtualProtect(lpBaseAddress, dwSizeOfImage, PAGE_EXECUTE_READWRITE, &dwOldProtect))
        {
            ShowError("VirtualProtect");
            return NULL;
        }
        // 修改PE文件加载基址IMAGE_NT_HEADERS.OptionalHeader.ImageBase
        if (FALSE == SetImageBase(lpBaseAddress))
        {
            ShowError("SetImageBase");
            return NULL;
        }
        // 跳转到PE的入口点处执行, 函数地址即为PE文件的入口点IMAGE_NT_HEADERS.OptionalHeader.AddressOfEntryPoint
        if (FALSE == CallExeEntry(lpBaseAddress))
        {
            ShowError("CallExeEntry");
            return NULL;
        }
        return lpBaseAddress;
    }


    int _tmain(int argc, _TCHAR* argv[])
    {
        char szFileName[] = "KuaiZip_Setup_2.8.28.8.exe";
        // 打开EXE文件并获取EXE文件大小
        HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE,
            FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
            FILE_ATTRIBUTE_ARCHIVE, NULL);
        if (INVALID_HANDLE_VALUE == hFile)
        {
            ShowError("CreateFile");
            return 1;
        }
        DWORD dwFileSize = GetFileSize(hFile, NULL);
        // 申请动态内存并读取DLL到内存中
        BYTE *pData = new BYTE[dwFileSize];
        if (NULL == pData)
        {
            ShowError("new");
            return 2;
        }
        DWORD dwRet = 0;
        ReadFile(hFile, pData, dwFileSize, &dwRet, NULL);
        CloseHandle(hFile);
        // 判断有无重定位表
        if (FALSE == IsExistRelocationTable(pData))
        {
            printf("[FALSE] IsExistRelocationTable\n");
            system("pause");
            return 0;
        }
        // 将内存DLL加载到程序中
        LPVOID lpBaseAddress = MmRunExe(pData, dwFileSize);
        if (NULL == lpBaseAddress)
        {
            ShowError("MmRunExe");
            return 3;
        }
        system("pause");
        return 0;
    }

效果图

在这里插入图片描述

编码实现(dll)

    // 模拟LoadLibrary加载内存DLL文件到进程中
    // lpData: 内存DLL文件数据的基址
    // dwSize: 内存DLL文件的内存大小
    // 返回值: 内存DLL加载到进程的加载基址
    LPVOID MmLoadLibrary(LPVOID lpData, DWORD dwSize)
    {
        LPVOID lpBaseAddress = NULL;
        // 获取镜像大小
        DWORD dwSizeOfImage = GetSizeOfImage(lpData);
        // 在进程中开辟一个可读、可写、可执行的内存块
        lpBaseAddress = ::VirtualAlloc(NULL, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
        if (NULL == lpBaseAddress)
        {
            ShowError("VirtualAlloc");
            return NULL;
        }
        ::RtlZeroMemory(lpBaseAddress, dwSizeOfImage);
        // 将内存DLL数据按SectionAlignment大小对齐映射到进程内存中
        if (FALSE == MmMapFile(lpData, lpBaseAddress))
        {
            ShowError("MmMapFile");
            return NULL;
        }
        // 修改PE文件重定位表信息
        if(FALSE == DoRelocationTable(lpBaseAddress))
        {
            ShowError("DoRelocationTable");
            return NULL;
        }
        // 填写PE文件导入表信息
        if (FALSE == DoImportTable(lpBaseAddress))
        {
            ShowError("DoImportTable");
            return NULL;
        }
        //修改页属性。应该根据每个页的属性单独设置其对应内存页的属性。
        //统一设置成一个属性PAGE_EXECUTE_READWRITE
        DWORD dwOldProtect = 0;
        if (FALSE == ::VirtualProtect(lpBaseAddress, dwSizeOfImage, PAGE_EXECUTE_READWRITE, &dwOldProtect))
        {
            ShowError("VirtualProtect");
            return NULL;
        }
        // 修改PE文件加载基址IMAGE_NT_HEADERS.OptionalHeader.ImageBase
        if (FALSE == SetImageBase(lpBaseAddress))
        {
            ShowError("SetImageBase");
            return NULL;
        }
        // 调用DLL的入口函数DllMain,函数地址即为PE文件的入口点IMAGE_NT_HEADERS.OptionalHeader.AddressOfEntryPoint
        if (FALSE == CallDllMain(lpBaseAddress))
        {
            ShowError("CallDllMain");
            return NULL;
        }
        return lpBaseAddress;
    }

    // 模拟GetProcAddress获取内存DLL的导出函数
    // lpBaseAddress: 内存DLL文件加载到进程中的加载基址
    // lpszFuncName: 导出函数的名字
    // 返回值: 返回导出函数的的地址
    LPVOID MmGetProcAddress(LPVOID lpBaseAddress, PCHAR lpszFuncName)
    {
        LPVOID lpFunc = NULL;
        // 获取导出表
        PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpBaseAddress;
        PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((ULONG32)pDosHeader + pDosHeader->e_lfanew);
        PIMAGE_EXPORT_DIRECTORY pExportTable = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pDosHeader + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
        // 获取导出表的数据
        PDWORD lpAddressOfNamesArray = (PDWORD)((DWORD)pDosHeader + pExportTable->AddressOfNames);
        PCHAR lpFuncName = NULL;
        PWORD lpAddressOfNameOrdinalsArray = (PWORD)((DWORD)pDosHeader + pExportTable->AddressOfNameOrdinals);
        WORD wHint = 0;
        PDWORD lpAddressOfFunctionsArray = (PDWORD)((DWORD)pDosHeader + pExportTable->AddressOfFunctions);
        DWORD dwNumberOfNames = pExportTable->NumberOfNames;
        DWORD i = 0;
        // 遍历导出表的导出函数的名称, 并进行匹配
        for (i = 0; i < dwNumberOfNames; i++)
        {
            lpFuncName = (PCHAR)((DWORD)pDosHeader + lpAddressOfNamesArray[i]);
            if (0 == ::lstrcmpi(lpFuncName, lpszFuncName))
            {
                // 获取导出函数地址
                wHint = lpAddressOfNameOrdinalsArray[i];
                lpFunc = (LPVOID)((DWORD)pDosHeader + lpAddressOfFunctionsArray[wHint]);
                break;
            }
        }
        return lpFunc;
    }

    // 释放从内存加载的DLL到进程内存的空间
    // lpBaseAddress: 内存DLL数据按SectionAlignment大小对齐映射到进程内存中的内存基址
    // 返回值: 成功返回TRUE,否则返回FALSE
    BOOL MmFreeLibrary(LPVOID lpBaseAddress)
    {
        BOOL bRet = FALSE;
        if (NULL == lpBaseAddress)
        {
            return bRet;
        }
        bRet = ::VirtualFree(lpBaseAddress, 0, MEM_RELEASE);
        lpBaseAddress = NULL;
        return bRet;
    }

我们编写一个用来测试的DLL程序TestDll,导出函数的代码如下所示:

    BOOL ShowMessage(char *lpszText, char *lpszCaption)
    {
        ::MessageBox(NULL, lpszText, lpszCaption, MB_OK);
        return TRUE;
    }

在 main 函数中,调用上述封装好的函数接口进行测试。main 函数为:

    int _tmain(int argc, _TCHAR* argv[])
    {
        char szFileName[MAX_PATH] = "TestDll.dll";
        // 打开DLL文件并获取DLL文件大小
        HANDLE hFile = ::CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE,
            FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
            FILE_ATTRIBUTE_ARCHIVE, NULL);
        if (INVALID_HANDLE_VALUE == hFile)
        {
            ShowError("CreateFile");
            return 1;
        }
        DWORD dwFileSize = ::GetFileSize(hFile, NULL);
        // 申请动态内存并读取DLL到内存中
        BYTE *lpData = new BYTE[dwFileSize];
        if (NULL == lpData)
        {
            ShowError("new");
            return 2;
        }
        DWORD dwRet = 0;
        ::ReadFile(hFile, lpData, dwFileSize, &dwRet, NULL);
        // 将内存DLL加载到程序中
        LPVOID lpBaseAddress = MmLoadLibrary(lpData, dwFileSize);
        if (NULL == lpBaseAddress)
        {
            ShowError("MmLoadLibrary");
            return 3;
        }
        printf("DLL加载成功\n");
        // 获取DLL导出函数并调用
        typedef BOOL(*typedef_ShowMessage)(char *lpszText, char *lpszCaption);
        typedef_ShowMessage ShowMessage = (typedef_ShowMessage)MmGetProcAddress(lpBaseAddress, "ShowMessage");
        if (NULL == ShowMessage)
        {
            ShowError("MmGetProcAddress");
            return 4;
        }
        ShowMessage("CDIY - www.coderdiy.com - 专注计算机技术交流分享\n", "CDIY");
        // 释放从内存加载的DLL
        BOOL bRet = MmFreeLibrary(lpBaseAddress);
        if (FALSE == bRet)
        {
            ShowError("MmFreeLirbary");
        }
        // 释放
        delete[] lpData;
        lpData = NULL;
        ::CloseHandle(hFile);
        system("pause");
        return 0;
    }

效果图

在这里插入图片描述

(-: LYSM :-)
关注
  • 5
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
实现exe从资源加载内存运行
08-28
这是网上的一段代码稍微修改了下,实现在windows下将程序加载到资源,运行时从资源加载内存,并运行
c++实现嵌入.exe文件到程序
闲云野鹤专栏
01-25 1779
 其实也不算是嵌入,只是单单的将一个exe文件或者任何一个类型的文件,通过16进制来表示。 然后这个16进制的文件再使用的时候先生成。然后程序调用。 代码: [cpp] view plaincopyprint? // test.cpp : 定义控制台应用程序的入口点。  //    #include "stdafx.h"  #include   using nam
如何从内存加载DLL
2401_84466224的博客
05-28 1074
文件格式通过在基本重定位表存储有关所有这些引用的信息来帮助实现此目的,这些信息可在OptionalHeader的DataDirectory的目录条目5找到。本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。相对于已分配内存块的基址的每个节的目标地址存储在IMAGE_SECTION_HEADER结构的VirtualAddress属性。PE 头包含有关可执行文件内不同部分的信息,这些信息用于存储代码和数据或定义从其他库导入或此库提供的导出。
C++内存加载映像(EXE/DLL)到本地或者远程进程执行
热门推荐
Rprop
07-25 4万+
加载的映像如果是EXE比必须关闭 固定基址(/FIXED:NO)即必须有重定位表, 否则无法处理重定位. void load_image() { auto pImage = data;//欲加载映像的内存地址 void *pDest = NULL; HANDLE pSection; LdrSup::AlignSections32(&pSection, pDest, pImag
C++动态链接库DLL文件的加载
爱看书的小沐
12-03 6224
本节内容1、如何从DLL获得资源(MFC DLL)2、如何使用DEF文件导出函数3、如何显式链接DLL4、如何隐式链接DLL5、如何在DLL共享数据6、如何在DLL使用对话框资源(MFC DLL)7、如何在MFC扩展DLL导出类 1、如何从DLL获得资源(MFC DLLLoadLibrary+::LoadString/::LoadIcon/::LoadBitmap HINSTANCE hModule = LoadLibrary(_T("test.dll")); HBITMAP
DLL加载其它DLL使用LoadLibrary加载动态库失败的解决办法
ranky2009的专栏
12-22 8820
方式一 采用LoadLibraryEx 若DLL不在调用方的同一目录下,可以用LoadLibrary(L"DLL绝对路径")加载。但若调用的DLL内部又调用另外一个DLL,此时调用仍会失败。解决办法是用LoadLibraryEx: eg: LoadLibraryEx("DLL绝对路径", NULL, LOAD_WITH_ALTERED_SEARCH_PATH); 通过指定LOAD_WIT
C/C++ 进程代码注入与提权/降权
CSDN
10-09 8508
如果将shellcode注入到具有特定权限的进程,我们就可以获得与该进程相同的权限,此方法可以用于提权与降权操作,注入有多种方式,最简单的是直接将metasploit生成的有效载荷直接注入到目标进程,并通过创建远程线程启动,还可以自己实现一个注入器,这里我们自己来实现一个提权器,可提权也可降权。最后,主函数开辟远程线程,即可完成权限提升,下载地址包括32与64两个版本,不同版本对应不同位数。如果目标进程开启了,动态地址,ASLR,等则注入会失败,程序崩溃,这里需要注意一下。
VC获取进程的cpu使用率、内存、线程数、句柄数等信息
深之JohnChen的专栏
09-07 6532
//ProcessInfoCollect.h //进程信息采集 #pragma once //枚举进程 typedef BOOL(_stdcall *ENUMPROCESS)( DWORD *pProcessIds, //指向进程ID数组链 DWORD cb, //ID数组的大小,用字节计数 DWORD *pBytesReturned //返回的字...
Windows下 C++ API函数大全
Gary_ghw的博客
01-28 4449
Windows下C++API函数大全,收藏起来了,需要的时候来检索
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
c++内存运行EXE文件
03-02
C++编程内存运行EXE文件是一种高级技巧,通常用于调试、安全或性能优化目的。这个过程涉及到动态加载、执行代码以及管理进程内存等概念。下面将详细讲解这些知识点。 首先,理解基本概念: 1. **进程**:...
内存加载dll-内存加载dll.rar
08-20
1.2 LoadLibrary/FreeLibrary函数:Windows API提供了LoadLibrary和FreeLibrary函数,用于在内存加载和卸载DLLLoadLibrary接收DLL的路径作为参数,成功加载后返回一个句柄,之后可以通过GetProcAddress获取DLL...
动态添加菜单动态加载dll
08-21
在Windows,可以使用`LoadLibrary`函数来动态加载DLL,该函数会返回一个模块句柄,后续可以使用`GetProcAddress`函数根据函数名获取DLL的函数地址。这样,即使在程序编译时不确定哪些DLL或函数会被使用,也可以...
functions.rar_Windows编程_C/C++_
08-12
7. **内存管理**:在Windows编程,了解如何使用`VirtualAlloc`、`VirtualFree`等函数进行内存分配和释放至关重要,它们可以避免常见的内存问题,如内存泄漏。 8. **线程和进程**:C/C++在Windows平台上可以使用`...
如何运行内存EXE
05-10
5. **API调用**:Windows API提供了如CreateProcessLoadLibrary等函数来创建和管理进程,但在这里,我们需要通过API Hook或者直接调用内存的函数来启动程序。 6. **C++源码实现**:`loadEXE.cpp` 文件很可能是...
Windows Dll注入与API HOOK
翻肚鱼儿的博客
07-27 529
DLL注入: 1. 使用注册表注入dll HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs AppInit_Dlls设置待注入的dll绝对路径 LoadAppInit_Dlls值设为1 2. 使用Windows挂钩注入dll 需要使用SetWindowsHookEx函数,MSDN定义如下: HHOOK WINAPI SetWindowsHook...
计算机三级PC专业技术.doc
07-18
计算机
“人力资源+大数据+薪酬报告+涨薪调薪”
最新发布
07-18
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值