在内存中启动EXE程序(过程详解)

最新推荐文章于 2023-08-15 17:57:03 发布
最新推荐文章于 2023-08-15 17:57:03 发布
阅读量5.7k 收藏 14
点赞数 2
文章标签: 病毒木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44045581/article/details/89308425
版权

打开文件

这个文件可加密,打开文件的同时解密成EXE文件即可。

char szFileName[] = "Virus.exe";
HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE,
		FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
		FILE_ATTRIBUTE_ARCHIVE, NULL);

获取EXE文件大小,并放入堆空间中

DWORD dwFileSize = GetFileSize(hFile, NULL);
	BYTE *pData = new BYTE[dwFileSize];
`ReadFile(hFile, pData, dwFileSize, &dwRet, NULL);

根据镜像大小,在进程中开辟一个可读、可写、可执行的内存块

DWORD dwSizeOfImage = GetSizeOfImage(lpData);
VirtualAlloc(NULL, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
RtlZeroMemory(lpBaseAddress, dwSizeOfImage);//初始化空间

将内存PE数据按SectionAlignment大小对齐映射到进程内存中

// lpData: 内存文件数据的基址
// lpBaseAddress: SectionAlignment大小对齐映射到进程内存中的内存基址
BOOL MmMapFile(LPVOID lpData, LPVOID lpBaseAddress)
{
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpData;
	PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((ULONG32)pDosHeader + pDosHeader->e_lfanew);
	// 获取SizeOfHeaders的值: 所有头+节表头的大小
	DWORD dwSizeOfHeaders = pNtHeaders->OptionalHeader.SizeOfHeaders;
	// 获取节表的数量
	WORD wNumberOfSections = pNtHeaders->FileHeader.NumberOfSections;
	// 获取第一个节表头的地址
	PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pNtHeaders + si
最低0.47元/天 解锁文章
Todd_Q
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
如何实现加载exe内存,直接执行。
字节跳动
11-25 3570
思路一 开发一个僵尸进程,将exe加载到内存,替换掉僵尸内存的数据。 参考网址1 思路二 实现一个PE加载器 参考网址2 思路三 使用进程注入技术 参考网址3 ...
内存加载并运行exe(两种方法)
11-27 1440
windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件加载并启动。 而下面这段代码就是提供一种可以直接从内存启动一个exe的变通办法。 用途嘛, 也许可以用来保护你的exe,你可以对要保护的 exe 进行任意切分、加密、存储, 只要运行时能将exe的内容正确拼接到一块内存,就可以直接从内存启动,...
实现exe从资源加载到内存运行
08-20
这是网上的一段代码稍微修改了下,实现在windows下将程序加载到资源,运行时从资源加载到内存,并运行
VC2015,C++内存运行EXE文件
最新发布
08-15 535
本例默认调用C:\111.EXE,测试时,请在这个位置放一个可以正常打开的程序,运行本例程序即可正常调用。但在VC2015,就会出现一些错误,本项目源码已经把错误修正,可以正常编译并运行,感兴趣的可以下载。VC2015项目所用的源码主要源自于网络,修正一些错误后,源码如下,此源码在VC6可以正常编译,
内存运行可执行程序
只谈技术
01-08 4232
 在内存运行可执行程序         在内存运行可执行程序,好处是可以给程序加壳,加密源程序,静态反汇编无法获得PE输入节,但是因为运行后仍然是独立的进程,所以没办法防止远程线程注入,挂接API钩子。   typedef IMAGE_SECTION_HEADER ( * PIMAGE_SECTION_HEADERS)[ 1 ];      //  计算对齐后的大小    unsig
C++实现EXE内存展开,并用线程运行
qq_38992167的博客
09-07 1763
在动乱的年代,追逐着初衷。 --无明 环境 vs 2008 010 edit编辑器 目标 写一个程序,读取磁盘上exe程序,并且在内存展开,且运行 流程图 本人逻辑是这样,如果有不对的给我说下,我改正 代码 我先给全部代码,下面是解释部分 // RunExeThread.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <wi...
C#程序类数量对程序启动的影响详解
08-26
在C#编程程序启动时间可能会受到多种因素的影响,包括类的数量。本文将深入探讨C#程序类数量如何影响程序启动速度,并通过实际的测试案例进行解析。 首先,我们要理解C#程序的加载过程。当一个.NET程序启动...
s3c2440启动过程详解
08-20
S3C2440启动过程详解 S3C2440启动过程可以分为两种模式:NAND启动模式和非NAND启动模式。这些模式取决于OM0和OM1两个引脚的电平。 NAND启动模式 在NAND启动模式,CPU会自动从NAND Flash读取前4KB的数据,并将...
EXE直接在内存运行(Win PE原理)
12-27
通过这段代码可以实现,以加壳的方式让EXE直接在内存运行, 防止被挂勾和破解释.
易语言 - 内存加载运行EXE源码
11-18
程序运行程序。易语言实现的两种方法源码,仅供学习参考。
动态加载EXE文件到内存执行1
08-08
动态加载EXE文件到内存执行 //***************************************************************
内存运行exe程序
03-05
1. 把你的程序读要内存 2. 以 CREATE_SUSPENDED模式CreateProcess打开svchost.exe 3. 修改svchost.exe页面的属性,然后把要运行的那个程序的内容拷贝到svchost.exe页面 4. 然后再运行 实质想当于是 披着/svchost.exe进程的相关信息/这张皮,而皮里面的肉都被改了
Android应用框架之应用启动过程详解
09-01
本文将深入探讨Android应用框架的应用启动过程,特别是如何从ActivityManagerService(AMS)开始,通过一系列步骤最终启动一个Android应用程序。 首先,AMS是Android系统服务的重要组成部分,它运行在一个单独的...
解析STM32的启动过程,STM32的启动过程详解
05-11
由于C语言的特性,main函数的入口地址在内存是不固定的,因此需要一个特殊的程序——启动文件(Bootloader)来帮助微控制器找到并执行main函数。 启动文件的主要任务是从复位状态引导微控制器进入正常运行模式。...
Linux开机启动过程详解
09-15
在init进程,根据引导加载程序的配置,Linux可以进入单用户模式。在这种模式下,系统只允许一个用户登录,用于进行系统故障排查和修复。init随后执行一系列初始化脚本(startup scripts),通常是shell脚本,完成...
c++ 在内存加载 exe/dll (不使用CreateProcess、LoadLibrary 等 API)
LYSM
06-24 4912
背景 在网上搜索了很多病毒木马的分析报告,看了一段时间后,发现还是有很多病毒木马都能够模拟PE加载器,把DLL或者是EXE等PE文件,直接从内存直接加载到自己的内存执行,不需要通过API函数去操作,以此躲过一些杀软的检测。 程序实现原理 首先,在EXE文件,根据PE结构格式获取其加载映像的大小SizeOfImage,并根据SizeOfImage在自己的程序申请一块可读、可写、可执行的内存,那么这块内存的首地址就是EXE程序的加载基址 然后,根据EXE的PE结构格式获取其映像对齐大小Section
加载exe内存运行
wanm9的博客
08-25 2920
有时候需要将exe加载至内存运行,例如保护exe程序版权。 先上代码: #ifdef WIN32     #include #else     #error Process Forking Requires a Windows Operating System #endif #include /////////////////////////////////////////
ARM9开发系统Linux启动过程详解
在ARMer9开发系统上运行Linux的过程启动流程包含了多个关键阶段。首先,我们从启动脚本开始分析。启动脚本一般位于`/linuxrc`,它的主要任务是初始化系统环境,设置必要的文件系统,并加载必需的驱动程序。在给...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值