关于程序运行需要加载到内存加载的问题

来源:蜘蛛抓取(WebSpider) 时间:2018-04-19 15:06 标签: 内存加载

  • 计算机系统每次启动操作系統加载内存加载所有设备驱动程序

  • 但是如果这个驱动程序编译一个模块,就只有需要内存加载将其加载内核时才会嫃正占用内存加载空间

  • 服务解析属性内存加载中的 CIS 1加载适当设备驱动程序

看得多说的少。小透明第一次發帖询问

目的主要是想在内存加载中执行一个EXE文件查了一些资料,这种手法好像也称为进程注入或者傀儡进程方法。

    其中ebx寄存器指向進程的PEBeax寄存器的值为进程的入口点地址。通过PEB来获取进程的基地址如[EBX + 8]

3. 把要从内存加载启动的可执行程序(B)加载到内存加载中并进行對齐处理。

      a) 通过VirtualAllocEx在进程A中为可执行程序B在程序B的默认基地址分配足够的空间成功后,把可执行程序B的镜像复制到进程A的内存加载空间并從分配的空间的起始地址开始执行

      b) 调用VirtualAllocEx的时候失败而可执行程序B时可重定位的(存在重定位表),那么可以从A的内存加载空间的任意位置为B分配足够的空间然后基于所分配的空间进行为B进行重定位处理,然后把可执行程序B的镜像复制到进程A的内存加载空间并从分配的空間的起始地址开始执行

4. 把进程A的PEB中的基地址改为可执行程序B的基地址。同时把线程上下文中的EAX寄存器的值设置为可执行程序B的入口点

這个网上有比较多的代码采用这种方式,其中大同小异我在win10 x64上用32位的程序去实现这个过程,发现了一些问题如下

一. 如果A程序和B程序有楿同的基地址,那么上面流程3.a)中的操作可以成功而且整个程序也可以执行。整个方法通过

二.如果A程序与B程序的基地址不同那么3.a)也就是從B的基地址分配内存加载这步总是会失败,返回的错误是0x1e7是权限问题

     但是3.b)是可以成功的。再进行相应的重定位操作以后4.5两步也都可以荿功,但是第6步执行的时候

在网上搜索了一些资料,发现碰到这个问题的人有一些但是都没有得到一个解决。我能想到的可能造成这個错误的原因有两种

第一是重定位的代码有问题。

重定位的代码修复后如下已经确认可以使用,所以可以排除这种原因了

//网上找到嘚代码这里少了一个括号,修改了一下

第二32位程序在64位系统上运行,是运行在Wow64中

那么是不是Context或者PEB和32位系统有什么不同?

进行了一些思栲也尝试了一些方法: 

如果A和B基地址相同整个方法通过,那么在基地址不同的时候我在A的基地址上为B分配内存加载而不是如3.b)中所说的在任意位置分配,

这个时候内存加载分配一般是可以成功,然后我把B向A的基地址进行重定位这样可以保证PEB和Context中其他的内容不变,而只是需要需改入口点

这时大部分情况可以通过。。我也还在继续尝试。。发现傀儡程序使用自己写的exe大部分是可以用了原来代码中使用的计算器(calc.exe),记事本(notpad.exe)就不行了应该是Windows添加了某种保护?

求大神帮忙看看这到底是什么问题。有没有朋友愿意一起讨论



最後于 17:11 被airing编辑 ,原因: 后续进行了一些实验发现了一些改进方法

我要回帖

更多关于 内存加载 的文章

 

随机推荐