c++ 在内存中加载 exe/dll (不使用CreateProcess、LoadLibrary 等 API)

于 2020-06-24 15:39:46 发布
阅读量5.3k 收藏 35
点赞数 5
分类专栏: C++功能函数
原文链接:https://www.write-bug.com/article/1968.html
版权

背景

在网上搜索了很多病毒木马的分析报告,看了一段时间后,发现还是有很多病毒木马都能够模拟PE加载器,把DLL或者是EXE等PE文件,直接从内存中直接加载到自己的内存中执行,不需要通过API函数去操作,以此躲过一些杀软的检测。

程序实现原理(以exe 为例,dll 同理)

  • 首先,在EXE文件中,根据PE结构格式获取其加载映像的大小SizeOfImage,并根据SizeOfImage在自己的程序中申请一块可读、可写、可执行的内存,那么这块内存的首地址就是EXE程序的加载基址
  • 然后,根据EXE中的PE结构格式获取其映像对齐大小SectionAlignment,然后把EXE文件数据按照SectionAlignment对齐大小拷贝到上述申请的可读、可写、可执行的内存中
  • 接着,根据PE结构的重定位表,重新对重定位表进行修正
  • 接着,根据PE结构的导入表,加载所需的DLL,并获取导入表导入函数的地址并写入导入表中
  • 接着,修改EXE的加载基址ImageBase
  • 最后,根据PE结构获取EXE的入口地址AddressOfEntryPoint,然后跳转到入口地址处继续执行

这样,EXE就成功加载到程序中并运行起来了。要注意的一个问题就是,并不是所有的EXE都有重定位表,对于没有重定位表的EXE程序,那就不适用于本文介绍的方法。

编码实现(exe)

    // 模拟PE加载器加载内存EXE文件到进程中
    // lpData: 内存EXE文件数据的基址
    // dwSize: 内存EXE文件的内存大小
    // 返回值: 内存EXE加载到进程的加载基址
    LPVOID MmRunExe(LPVOID lpData, DWORD dwSize)
    {
        LPVOID lpBaseAddress = NULL;
        // 获取镜像大小
        DWORD dwSizeOfImage = GetSizeOfImage(lpData);
        // 在进程中开辟一个可读、可写、可执行的内存块
        lpBaseAddress = ::VirtualAlloc(NULL, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
        if (NULL == lpBaseAddress)
        {
            ShowError("VirtualAlloc");
            return NULL;
        }
        ::RtlZeroMemory(lpBaseAddress, dwSizeOfImage);
        // 将内存PE数据按SectionAlignment大小对齐映射到进程内存中
        if (FALSE == MmMapFile(lpData, lpBaseAddress))
        {
            ShowError("MmMapFile");
            return NULL;
        }
        // 修改PE文件重定位表信息
        if (FALSE == DoRelocationTable(lpBaseAddress))
        {
            ShowError("DoRelocationTable");
            return NULL;
        }
        // 填写PE文件导入表信息
        if (FALSE == DoImportTable(lpBaseAddress))
        {
            ShowError("DoImportTable");
            return NULL;
        }
        //修改页属性。应该根据每个页的属性单独设置其对应内存页的属性。
        //统一设置成一个属性PAGE_EXECUTE_READWRITE
        DWORD dwOldProtect = 0;
        if (FALSE == ::VirtualProtect(lpBaseAddress, dwSizeOfImage, PAGE_EXECUTE_READWRITE, &dwOldProtect))
        {
            ShowError("VirtualProtect");
            return NULL;
        }
        // 修改PE文件加载基址IMAGE_NT_HEADERS.OptionalHeader.ImageBase
        if (FALSE == SetImageBase(lpBaseAddress))
        {
            ShowError("SetImageBase");
            return NULL;
        }
        // 跳转到PE的入口点处执行, 函数地址即为PE文件的入口点IMAGE_NT_HEADERS.OptionalHeader.AddressOfEntryPoint
        if (FALSE == CallExeEntry(lpBaseAddress))
        {
            ShowError("CallExeEntry");
            return NULL;
        }
        return lpBaseAddress;
    }


    int _tmain(int argc, _TCHAR* argv[])
    {
        char szFileName[] = "KuaiZip_Setup_2.8.28.8.exe";
        // 打开EXE文件并获取EXE文件大小
        HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE,
            FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
            FILE_ATTRIBUTE_ARCHIVE, NULL);
        if (INVALID_HANDLE_VALUE == hFile)
        {
            ShowError("CreateFile");
            return 1;
        }
        DWORD dwFileSize = GetFileSize(hFile, NULL);
        // 申请动态内存并读取DLL到内存中
        BYTE *pData = new BYTE[dwFileSize];
        if (NULL == pData)
        {
            ShowError("new");
            return 2;
        }
        DWORD dwRet = 0;
        ReadFile(hFile, pData, dwFileSize, &dwRet, NULL);
        CloseHandle(hFile);
        // 判断有无重定位表
        if (FALSE == IsExistRelocationTable(pData))
        {
            printf("[FALSE] IsExistRelocationTable\n");
            system("pause");
            return 0;
        }
        // 将内存DLL加载到程序中
        LPVOID lpBaseAddress = MmRunExe(pData, dwFileSize);
        if (NULL == lpBaseAddress)
        {
            ShowError("MmRunExe");
            return 3;
        }
        system("pause");
        return 0;
    }

效果图

在这里插入图片描述

编码实现(dll)

    // 模拟LoadLibrary加载内存DLL文件到进程中
    // lpData: 内存DLL文件数据的基址
    // dwSize: 内存DLL文件的内存大小
    // 返回值: 内存DLL加载到进程的加载基址
    LPVOID MmLoadLibrary(LPVOID lpData, DWORD dwSize)
    {
        LPVOID lpBaseAddress = NULL;
        // 获取镜像大小
        DWORD dwSizeOfImage = GetSizeOfImage(lpData);
        // 在进程中开辟一个可读、可写、可执行的内存块
        lpBaseAddress = ::VirtualAlloc(NULL, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
        if (NULL == lpBaseAddress)
        {
            ShowError("VirtualAlloc");
            return NULL;
        }
        ::RtlZeroMemory(lpBaseAddress, dwSizeOfImage);
        // 将内存DLL数据按SectionAlignment大小对齐映射到进程内存中
        if (FALSE == MmMapFile(lpData, lpBaseAddress))
        {
            ShowError("MmMapFile");
            return NULL;
        }
        // 修改PE文件重定位表信息
        if(FALSE == DoRelocationTable(lpBaseAddress))
        {
            ShowError("DoRelocationTable");
            return NULL;
        }
        // 填写PE文件导入表信息
        if (FALSE == DoImportTable(lpBaseAddress))
        {
            ShowError("DoImportTable");
            return NULL;
        }
        //修改页属性。应该根据每个页的属性单独设置其对应内存页的属性。
        //统一设置成一个属性PAGE_EXECUTE_READWRITE
        DWORD dwOldProtect = 0;
        if (FALSE == ::VirtualProtect(lpBaseAddress, dwSizeOfImage, PAGE_EXECUTE_READWRITE, &dwOldProtect))
        {
            ShowError("VirtualProtect");
            return NULL;
        }
        // 修改PE文件加载基址IMAGE_NT_HEADERS.OptionalHeader.ImageBase
        if (FALSE == SetImageBase(lpBaseAddress))
        {
            ShowError("SetImageBase");
            return NULL;
        }
        // 调用DLL的入口函数DllMain,函数地址即为PE文件的入口点IMAGE_NT_HEADERS.OptionalHeader.AddressOfEntryPoint
        if (FALSE == CallDllMain(lpBaseAddress))
        {
            ShowError("CallDllMain");
            return NULL;
        }
        return lpBaseAddress;
    }

    // 模拟GetProcAddress获取内存DLL的导出函数
    // lpBaseAddress: 内存DLL文件加载到进程中的加载基址
    // lpszFuncName: 导出函数的名字
    // 返回值: 返回导出函数的的地址
    LPVOID MmGetProcAddress(LPVOID lpBaseAddress, PCHAR lpszFuncName)
    {
        LPVOID lpFunc = NULL;
        // 获取导出表
        PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpBaseAddress;
        PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((ULONG32)pDosHeader + pDosHeader->e_lfanew);
        PIMAGE_EXPORT_DIRECTORY pExportTable = (PIMAGE_EXPORT_DIRECTORY)((DWORD)pDosHeader + pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
        // 获取导出表的数据
        PDWORD lpAddressOfNamesArray = (PDWORD)((DWORD)pDosHeader + pExportTable->AddressOfNames);
        PCHAR lpFuncName = NULL;
        PWORD lpAddressOfNameOrdinalsArray = (PWORD)((DWORD)pDosHeader + pExportTable->AddressOfNameOrdinals);
        WORD wHint = 0;
        PDWORD lpAddressOfFunctionsArray = (PDWORD)((DWORD)pDosHeader + pExportTable->AddressOfFunctions);
        DWORD dwNumberOfNames = pExportTable->NumberOfNames;
        DWORD i = 0;
        // 遍历导出表的导出函数的名称, 并进行匹配
        for (i = 0; i < dwNumberOfNames; i++)
        {
            lpFuncName = (PCHAR)((DWORD)pDosHeader + lpAddressOfNamesArray[i]);
            if (0 == ::lstrcmpi(lpFuncName, lpszFuncName))
            {
                // 获取导出函数地址
                wHint = lpAddressOfNameOrdinalsArray[i];
                lpFunc = (LPVOID)((DWORD)pDosHeader + lpAddressOfFunctionsArray[wHint]);
                break;
            }
        }
        return lpFunc;
    }

    // 释放从内存加载的DLL到进程内存的空间
    // lpBaseAddress: 内存DLL数据按SectionAlignment大小对齐映射到进程内存中的内存基址
    // 返回值: 成功返回TRUE,否则返回FALSE
    BOOL MmFreeLibrary(LPVOID lpBaseAddress)
    {
        BOOL bRet = FALSE;
        if (NULL == lpBaseAddress)
        {
            return bRet;
        }
        bRet = ::VirtualFree(lpBaseAddress, 0, MEM_RELEASE);
        lpBaseAddress = NULL;
        return bRet;
    }

我们编写一个用来测试的DLL程序TestDll,导出函数的代码如下所示:

    BOOL ShowMessage(char *lpszText, char *lpszCaption)
    {
        ::MessageBox(NULL, lpszText, lpszCaption, MB_OK);
        return TRUE;
    }

在 main 函数中,调用上述封装好的函数接口进行测试。main 函数为:

    int _tmain(int argc, _TCHAR* argv[])
    {
        char szFileName[MAX_PATH] = "TestDll.dll";
        // 打开DLL文件并获取DLL文件大小
        HANDLE hFile = ::CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE,
            FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
            FILE_ATTRIBUTE_ARCHIVE, NULL);
        if (INVALID_HANDLE_VALUE == hFile)
        {
            ShowError("CreateFile");
            return 1;
        }
        DWORD dwFileSize = ::GetFileSize(hFile, NULL);
        // 申请动态内存并读取DLL到内存中
        BYTE *lpData = new BYTE[dwFileSize];
        if (NULL == lpData)
        {
            ShowError("new");
            return 2;
        }
        DWORD dwRet = 0;
        ::ReadFile(hFile, lpData, dwFileSize, &dwRet, NULL);
        // 将内存DLL加载到程序中
        LPVOID lpBaseAddress = MmLoadLibrary(lpData, dwFileSize);
        if (NULL == lpBaseAddress)
        {
            ShowError("MmLoadLibrary");
            return 3;
        }
        printf("DLL加载成功\n");
        // 获取DLL导出函数并调用
        typedef BOOL(*typedef_ShowMessage)(char *lpszText, char *lpszCaption);
        typedef_ShowMessage ShowMessage = (typedef_ShowMessage)MmGetProcAddress(lpBaseAddress, "ShowMessage");
        if (NULL == ShowMessage)
        {
            ShowError("MmGetProcAddress");
            return 4;
        }
        ShowMessage("CDIY - www.coderdiy.com - 专注计算机技术交流分享\n", "CDIY");
        // 释放从内存加载的DLL
        BOOL bRet = MmFreeLibrary(lpBaseAddress);
        if (FALSE == bRet)
        {
            ShowError("MmFreeLirbary");
        }
        // 释放
        delete[] lpData;
        lpData = NULL;
        ::CloseHandle(hFile);
        system("pause");
        return 0;
    }

效果图

在这里插入图片描述

(-: LYSM :-)
关注
专栏目录
内存启动EXE程序(过程详解)
weixin_44045581的博客
04-15 5867
打开文件 这个文件可加密,打开文件的同时解密成EXE文件即可。 char szFileName[] = "Virus.exe"; HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_A...
实现exe从资源加载内存运行
08-20
这是网上的一段代码稍微修改了下,实现在windows下将程序加载到资源,运行时从资源加载内存,并运行
NB的内存加载exe文件
木休的斋堂
03-14 1816
原理: 1. 把你的程序读要内存 2. 以 CREATE_SUSPENDED模式CreateProcess打开svchost.exe 3. 修改svchost.exe页面的属性,然后把要运行的那个程序的内容拷贝到svchost.exe页面 4. 然后再运行 实质想当于是 披着/svchost.exe进程的相关信息/这张皮,而皮里面的肉都被改了 原文来自哪里忘记了,。呵呵 // #in
一种保护应用程序的方法 模拟Windows PE加载器,从内存资源加载DLL
马大叔的工作日记
08-13 2953
1、前言 目前很多敏感和重要的DLL(Dynamic-link library) 都没有提供静态版本供编译器进行静态连接(.lib文件),即使提供了静态版本也因为兼容性问题导致无法使用,而只提供DLL版本,并且很多专业软件的授权部分的API,都是单独提供一个DLL来完成,而
内存加载DLL
12-24 2613
程序使用动态库DLL一般分为隐式加载和显式加载两种,分别对应两种链接情况。本文主要讨论显式加载的技术问题。我们知道,要显式加载一个DLL,并取得其导出的函数地址一般是通过如下步骤:(1) 用LoadLibrary加载dll文件,获得该dll的模块句柄;(2) 定义一个函数指针类型,并声明一个变量;(3) 用GetProcAddress取得该dll目标函数的地址,赋值给函数指针变量;(4) 调用
内存运行exe程序
03-05
1. 把你的程序读要内存 2. 以 CREATE_SUSPENDED模式CreateProcess打开svchost.exe 3. 修改svchost.exe页面的属性,然后把要运行的那个程序的内容拷贝到svchost.exe页面 4. 然后再运行 实质想当于是 披着/svchost.exe进程的相关信息/这张皮,而皮里面的肉都被改了
c++内存运行EXE文件
最新发布
03-02
C++编程内存运行EXE文件是一种高级技巧,通常用于调试、安全或性能优化目的。这个过程涉及到动态加载、执行代码以及管理进程内存等概念。下面将详细讲解这些知识点。 首先,理解基本概念: 1. **进程**:...
内存加载dll-内存加载dll.rar
08-20
1.2 LoadLibrary/FreeLibrary函数:Windows API提供了LoadLibrary和FreeLibrary函数,用于在内存加载和卸载DLLLoadLibrary接收DLL的路径作为参数,成功加载后返回一个句柄,之后可以通过GetProcAddress获取DLL...
CreateProcess创建暂停进程进行DLL注入-[VC.Dll+VB.Code]
05-12
本教程将深入讲解如何使用`CreateProcess`函数在VC++创建一个新的进程,并在VB环境下编写代码进行DLL注入。 `CreateProcess`是Windows API的一个关键函数,它负责启动新的进程并可选地创建新的线程。这个函数...
内存运行exe文件,C++代码
04-23
内存运行exe文件,C++代码,内存运行exe文件,C++代码,内存运行exe文件,C++代码,
内存加载运行EXE
08-07
windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件加载并启动。 而下面这段代码就是提供一种可以直接从内存启动一个exe的变通办法。 用途嘛, 也许可以用来保护你的exe,你可以对要保护的 exe 进行任意切分、加密、存储, 只要运行时能将exe的内容正确拼接到一块内存,就可以直接从内存启动,而不必不安全地去 生成一个临时文件再从临时文件启动进程。另外这段代码也提供了一种自己写exe外壳的简单途径, 如果能配合其它各种外壳技术就更好地保护你的exe文件。 原理很简单:就是“借尸还魂”,启动一个僵尸进程(NT下可以是自身程序启动的另一个进程), 然后在它运行前将其整个替换成内存exe内容,待正式运行后执行的就是你的目标代码了。 不过代码还有一些不尽人意的地方,比如在98下运行会留一个僵尸程序的壳在硬盘上( 其实那个僵尸程序本身就是一个完整的可执行程序,直接运行的话只显示一条错误信息然后就退出了)。 另外由于客观条件限制,代码没有经过充分测试,只在XP下进行了一些初步测试:普通exe都能正常运行, upx压缩过的exe绝大多数情况下都能运行,只有在不能卸载僵尸外壳时才有问题(upx压缩过的exe没有重定向表, 无法加载到其它地址运行)。
进程空技术(在内存加载exe
07-28
一种进程注入技术,有兴趣稍加改动可实现exe在不落地的情况下在内存动态加载
EXE直接在内存运行(Win PE原理)
12-27
通过这段代码可以实现,以加壳的方式让EXE直接在内存运行, 防止被挂勾和破解释.
内存运行EXE可执行文件 delphi
11-17
提供了在内存运行可执行文件功能的单元,没有用任何内镶汇编
动态添加菜单动态加载dll
08-21
在Windows,可以使用`LoadLibrary`函数来动态加载DLL,该函数会返回一个模块句柄,后续可以使用`GetProcAddress`函数根据函数名获取DLL的函数地址。这样,即使在程序编译时不确定哪些DLL或函数会被使用,也可以...
[C语言(VC++)] 内存运行exe(二)
攻城狮的物联网基地
08-15 1463
[C语言(VC++)] 内存运行exe (二) // 原理: 1. 把你的程序读要内存 2. 以 CREATE_SUSPENDED模式CreateProcess打开svchost.exe 3. 修改svchost.exe页面的属性,然后把要运行的那个程序的内容拷贝到svchost.exe页面 4. 然后再运行 实质想当于是 披着/svchost.exe进程的相关信息/这张皮,而皮
内存加载并启动一个exe
白水绕东城
05-17 1960
 windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件加载并启动。而下面这段代码就是提供一种可以直接从内存启动一个exe的变通办法。用途嘛, 也许可以用来保护你的exe,你可以对要保护的 exe 进行任意切分、加密、存储,只要运行时能将exe的内容正确拼接到一块内存,就可以直接从内存启动,而不必不安全地去生成一个临时文件再从临时文件启动进程。另外这段代码也提供了一种自己
内存加载运行exe
a572893208的博客
10-02 329
{配合anskya的AnyWhereFileToPas效果不错} {*******************************************************} {*从内存加载运行exe*} {*******************************...
wpf编程,live charts使用说明
03-16
WPF编程是一种基于Windows Presentation Foundation的编程技术,用于创建Windows桌面应用程序。WPF提供了丰富的UI控件和布局管理器,使开发人员能够轻松地创建具有吸引力和交互性的应用程序。 Live Charts是一种用于WPF应用程序的图表库,它提供了多种类型的图表,包括线图、柱状图、饼图等。使用Live Charts可以轻松地将数据可视化,并为用户提供更好的数据分析和理解。 要使用Live Charts,首先需要在WPF项目安装Live Charts NuGet包。然后,可以在XAML添加Live Charts控件,并使用C#代码绑定数据源。Live Charts还提供了许多自定义选项,可以根据需要进行调整。 总之,WPF编程和Live Charts是一对非常强大的组合,可以帮助开发人员创建出色的Windows桌面应用程序,并使数据可视化更加容易和直观。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值