直接运行内存中的程序.docVIP

直接运行内存中的程序 Windows的PE加载器在启动程序的时候，会将磁盘上的文件加载到内存，然后做很多操作，如函数导入表重定位，变量预处理之类的。这位仁兄等于是自己写了一个PE加载器。直接将内存中的程序启动。记得以前的“红色代码”病毒也有相同的特性。??? 直接启动内存中的程序相当于加了一个壳，可以把程序加密保存，运行时解密到内存，然后启动，不过对于增加破解难度还要稍微复杂点。否则人家把内存中的进程DUMP出来然后修复导入表就被拖出来了。 #include?stdafx.h??????typedef?IMAGE_SECTION_HEADER?(*PIMAGE_SECTION_HEADERS)[1];?????//?计算对齐后的大小???unsigned?long?GetAlignedSize(unsigned?long?Origin,?unsigned?long?Alignment)???...{???????return?(Origin?+?Alignment?-?1)?/?Alignment?*?Alignment;???}?????//?计算加载pe并对齐需要占用多少内存???//?未直接使用OptionalHeader.SizeOfImage作为结果是因为据说有的编译器生成的exe这个值会填0???unsigned?long?CalcTotalImageSize(PIMAGE_DOS_HEADER?MzH????????????????????????????????????,?unsigned?long?FileLen????????????????????????????????????,?PIMAGE_NT_HEADERS?peH????????????????????????????????????,?PIMAGE_SECTION_HEADERS?peSecH)???...{???????unsigned?long?res;???????//?计算pe头的大小???????res?=?GetAlignedSize(?peH-OptionalHeader.SizeOfHeaders???????????,?peH-OptionalHeader.SectionAlignment???????????);?????????//?计算所有节的大小???????for(?int?i?=?0;?i??peH-FileHeader.NumberOfSections;?++i)???????...{???????????//?超出文件范围???????????if(peSecH[i]-PointerToRawData?+?peSecH[i]-SizeOfRawData??FileLen)???????????????return?0;???????????else?if(peSecH[i]-VirtualAddress)//计算对齐后某节的大小???????????...{???????????????if(peSecH[i]-Misc.VirtualSize)???????????????...{???????????????????res?=?GetAlignedSize(?peSecH[i]-VirtualAddress?+?peSecH[i]-Misc.VirtualSize???????????????????????,?peH-OptionalHeader.SectionAlignment???????????????????????);???????????????}???????????????else??????????????...{???????????????????res?=?GetAlignedSize(?peSecH[i]-VirtualAddress?+?peSecH[i]-SizeOfRawData???????????????????????,?peH-OptionalHeader.SectionAlignment???????????????????????);???????????????}???????????}???????????else?if(?peSecH[i]-Misc.VirtualSize??peSecH[i]-SizeOfRawData?)???????????...{???????????????res?+=?GetAlignedSize(?peSecH[i]-SizeOfRawData???????????????????,?peH-OptionalHeader.Se