windows编程
文章平均质量分 79
sevenpic
这个作者很懒,什么都没留下…
展开
-
直接将自身代码注入傀儡进程
<br />EXE注入-傀儡进程2008-08-16 16:38<br /> 直接将自身代码注入傀儡进程,不需要DLL。首先用CreateProcess来创建一个挂起的IE进程,创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个ie进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写IE进程的基址,就是刚才分配的内存转载 2010-09-13 11:15:00 · 7643 阅读 · 0 评论 -
代码注入之傀儡进程
傀儡进程——Exe注入2009-09-17 16:29#include "stdafx.h"#include typedef long NTSTATUS;typedef NTSTATUS (__stdcall *pfnZwUnmapViewOfSection)( IN HANDLE ProcessHandle, IN LPVOID BaseAddress );BOOL CreateIEProcess();PROCESS_INFORMATION pi = {0};转载 2010-09-13 10:39:00 · 1972 阅读 · 0 评论 -
直接运行内存中的代码
<br />Windows的PE加载器在启动程序的时候,会将磁盘上的文件加载到内存,然后做很多操作,如函数导入表重定位,变量预处理之类的。这位仁兄等于是自己写了一个PE加载器。直接将内存中的程序启动。记得以前的“红色代码”病毒也有相同的特性。<br /> 直接启动内存中的程序相当于加了一个壳,可以把程序加密保存,运行时解密到内存,然后启动,不过对于增加破解难度还要稍微复杂点。否则人家把内存中的进程DUMP出来然后修复导入表就被拖出来了。<br /><br />代码自己改吧#include "stdaf转载 2010-09-13 10:51:00 · 1624 阅读 · 0 评论