在内存中启动EXE程序(过程详解)

最新推荐文章于 2023-05-03 16:17:10 发布
最新推荐文章于 2023-05-03 16:17:10 发布
阅读量5.7k 收藏 14
点赞数 2
文章标签: 病毒木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44045581/article/details/89308425
版权

打开文件

这个文件可加密,打开文件的同时解密成EXE文件即可。

char szFileName[] = "Virus.exe";
HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE,
		FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
		FILE_ATTRIBUTE_ARCHIVE, NULL);

获取EXE文件大小,并放入堆空间中

DWORD dwFileSize = GetFileSize(hFile, NULL);
	BYTE *pData = new BYTE[dwFileSize];
`ReadFile(hFile, pData, dwFileSize, &dwRet, NULL);

根据镜像大小,在进程中开辟一个可读、可写、可执行的内存块

DWORD dwSizeOfImage = GetSizeOfImage(lpData);
VirtualAlloc(NULL, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
RtlZeroMemory(lpBaseAddress, dwSizeOfImage);//初始化空间

将内存PE数据按SectionAlignment大小对齐映射到进程内存中

// lpData: 内存文件数据的基址
// lpBaseAddress: SectionAlignment大小对齐映射到进程内存中的内存基址
BOOL MmMapFile(LPVOID lpData, LPVOID lpBaseAddress)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpData;
	PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((ULONG32)pDosHeader + pDosHeader->e_lfanew);
	// 获取SizeOfHeaders的值: 所有头+节表头的大小
	DWORD dwSizeOfHeaders = pNtHeaders->OptionalHeader.SizeOfHeaders;
	// 获取节表的数量
	WORD wNumberOfSections = pNtHeaders->FileHeader.NumberOfSections;
	// 获取第一个节表头的地址
	PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pNtHeaders + si
最低0.47元/天 解锁文章
Todd_Q
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
内存越界一定会导致程序崩溃吗?详解内存越界
dvlinker的技术专栏
08-20 2万+
本文详细解释了内存越界不一定导致内存越界的问题,全面介绍了C++内存越界的相关内容。
详解FreeRTOS:FreeRTOS程序启动流程(基础篇—5)
不脱发的程序猿
07-31 6374
讲一讲FreeRTOS程序启动流程。
如何实现加载exe内存,直接执行。
字节跳动
11-25 3569
思路一 开发一个僵尸进程,将exe加载到内存,替换掉僵尸内存的数据。 参考网址1 思路二 实现一个PE加载器 参考网址2 思路三 使用进程注入技术 参考网址3 ...
内存加载并运行exe(两种方法)
11-27 1436
windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件加载并启动。 而下面这段代码就是提供一种可以直接从内存启动一个exe的变通办法。 用途嘛, 也许可以用来保护你的exe,你可以对要保护的 exe 进行任意切分、加密、存储, 只要运行时能将exe的内容正确拼接到一块内存,就可以直接从内存启动,...
深入详解C/C++动态内存管理
热门推荐
dvlinker的技术专栏
07-19 1万+
本文详细讲述了C/C++动态内存管理方面的内容,并具体阐述了几类常见的动态内存异常,以供大家借鉴或参考!
C++程序发生内存越界,一定会导致程序崩溃吗?详解内存越界
dvlinker的技术专栏
05-03 1万+
内存越界是否一定会导致程序崩溃吗?详解内存越界
计算机启动过程详解(待修改)
Hugu
04-16 1921
目录 关键词 BIOS: CMOS: 内存地址: POST: 蜂鸣码: RESET信号: 启动过程 通电阶段 上电自检(POST)阶段 显卡检测阶段 其他关键设备检测阶段 系统BIOS信息显示 CPU、内存检测阶段 标准硬件设备检测 即插即用设备检测 概略硬件信息 更新ESCD阶段 系统引导阶段 软件引导系统启动阶段 检测和配置硬件阶段 内核加载阶段 ...
计算机启动过程详解
顺其自然~专栏
10-26 1万+
先问一个问题,”启动”用英语怎么说?回答是boot。可是,boot原来的意思是靴子,”启动”与靴子有什么关系呢?字面意思是”拽着鞋带把自己拉起来”,这当然是不可能的事情。最早的时候,工程师们用它来比喻,计算机启动是一个很矛盾的过程:必须先运行程序,然后计算机才能启动,但是计算机不启动就无法运行程序!早期真的是这样,必须想尽各种办法,一小段程序装进内存。所以,工程师们把这个过程叫做”拉鞋带”,久而久之就简称为boot了。计算机的整个启动过程分成四个阶段。
java程序的执行过程_java程序的执行过程详解
weixin_36301296的博客
02-12 4506
描述Java程序运行时,必须经过编译和运行两个步骤。首先将后缀名为.java的源文件进行编译,最终生成后缀名为.class的字节码文件。然后Java虚拟机将编译好的字节码文件加载到内存(这个过程被称为类加载,是由加载器完成的),然后虚拟机针对加载到内存的java类进行解释执行,显示结果。Java的运行原理在Java引入了虚拟机的概念,即在机器和编译程序之间加入了一层抽象的虚拟的机器。这台虚拟的机...
C#程序类数量对程序启动的影响详解
08-26
在C#编程程序启动时间可能会受到多种因素的影响,包括类的数量。本文将深入探讨C#程序类数量如何影响程序启动速度,并通过实际的测试案例进行解析。 首先,我们要理解C#程序的加载过程。当一个.NET程序启动...
s3c2440启动过程详解
08-20
S3C2440启动过程详解 S3C2440启动过程可以分为两种模式:NAND启动模式和非NAND启动模式。这些模式取决于OM0和OM1两个引脚的电平。 NAND启动模式 在NAND启动模式,CPU会自动从NAND Flash读取前4KB的数据,并将...
Android应用框架之应用启动过程详解
09-01
本文将深入探讨Android应用框架的应用启动过程,特别是如何从ActivityManagerService(AMS)开始,通过一系列步骤最终启动一个Android应用程序。 首先,AMS是Android系统服务的重要组成部分,它运行在一个单独的...
解析STM32的启动过程,STM32的启动过程详解
05-11
由于C语言的特性,main函数的入口地址在内存是不固定的,因此需要一个特殊的程序——启动文件(Bootloader)来帮助微控制器找到并执行main函数。 启动文件的主要任务是从复位状态引导微控制器进入正常运行模式。...
Linux开机启动过程详解
09-15
在init进程,根据引导加载程序的配置,Linux可以进入单用户模式。在这种模式下,系统只允许一个用户登录,用于进行系统故障排查和修复。init随后执行一系列初始化脚本(startup scripts),通常是shell脚本,完成...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
通讯协议规范-命令包格式
07-28
提供一份通讯协议规范,包含命令包、格式等,在上下位机调试的时候可参考该文档,制定对应的通讯协议。
四足宠物机器狗动态步行规划与仿真.pdf
最新发布
07-28
四足宠物机器狗动态步行规划与仿真
ARM Linux启动过程详解:从映像到运行
- 引导加载器是启动过程最早运行的软件,负责加载内核到内存并传递控制权。在ARM架构,常见的引导加载器有U-Boot和Liux Boot等。它们通常存储在ROM或闪存,根据配置加载适当的内核映像。 2. **内核映像类型*...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值