直接在内存运行PE
于 2022-01-21 发布
文件大小:98.38 kB
0 234
下载积分: 2
下载次数: 2
代码说明:
使用了PE加载技术、Hook技术用程序加载PE文件到内存并运行。当在内存中运行的程序,比如arp.EXE执行完之后就会退出,那结果是ExitProcess被调用,那将是我们主进程也结束,显然我们不希望这样。 处理办法:HOOK ExitProcess。问题来了,对MS的许多控制台程序,它们退出都是调用exit,所以如果HOOK ExitProcess, 那我们俩次在内存中运行arp.EXE之后就会死锁。所以对这类程序而言,不能H OOK ExitProcess,只能HOOK msvcrt!exit。LOADER要加载一个EXE文件,这个EXE文件加载的地址是在0x400000。在我们LOADER的MAIN函数里面,这个地址已经被占用,而你是不能去Free这个地址 重新分布的,这样可能会导致程序崩溃,处理方法相见说明。
下载说明:请别用迅雷下载,失败请重下,重下不扣分!
发表评论
