EXE可执行文件，在内存中运行。

yh3215

  

连续赋值 (0, 运行信息.进程ID, 运行信息.进程句柄, 运行信息.主线程ID, 运行信息.主线程句柄)
如果真 (欲执行的程序 ＝ {  })
返回 (假)
CopyMemory_idh (idh, 欲执行的程序 [1], Len_idh (idh))
如果真 (idh.e_magic ≠ 23117)
返回 (假)
CopyMemory_inh (inh, 欲执行的程序 [idh.e_lfanew ＋ 1], Len_inh (inh))
如果真 (inh.Signature ≠ 17744)
返回 (假)
si.cb ＝ Len_si (si)
如果真 (是否为空 (窗口显示方式) ＝ 假 且 窗口显示方式 ≠ 2 且 窗口显示方式 ＞ 0 且 窗口显示方式 ≤ 6)
si.dwFlags ＝ 1
si.wShowWindow ＝ 多项选择 (窗口显示方式, 0, 5, 2, 3, 8, 7)
如果真 (CreateProcess (0, 选择 (是否为空 (外壳程序路径), 取cmd路径 (), 外壳程序路径) ＋ 选择 (是否为空 (命令行) 或 命令行 ＝ “”, “”, “ ” ＋ 命令行), 0, 0, 0, 4, 0, 0, si, 运行信息) ＝ 0)
返回 (假)
context.ContextFlags ＝ 65538
如果真 (GetThreadContext (运行信息.主线程句柄, context) ＝ 0)
ClearProcess (运行信息)
返回 (假)
ReadProcessMemory (运行信息.进程句柄, context.Ebx ＋ 8, addr, 4, 0)
如果真 (addr ＝ 0)
ClearProcess (运行信息)
返回 (假)
如果真 (ZwUnmapViewOfSection (运行信息.进程句柄, addr) ＝ 0)
ClearProcess (运行信息)
返回 (假)
ImageBase ＝ VirtualAllocEx (运行信息.进程句柄, inh.OptionalHeader.ImageBase, inh.OptionalHeader.SizeOfImage, 12288, 4)
如果真 (ImageBase ＝ 0)
ClearProcess (运行信息)
返回 (假)
WriteProcessMemory (运行信息.进程句柄, ImageBase, 欲执行的程序 [1], inh.OptionalHeader.SizeOfHeaders, 0)
lOffset ＝ idh.e_lfanew ＋ Len_inh (inh)
计次循环首 (inh.FileHeader.NumberOfSections, i)
CopyMemory_ish (ish, 欲执行的程序 [lOffset ��� (i － 1) × 40 ＋ 1], Len_ish (ish))
如果真 (ish.PointerToRawData ＋ 1 ＞ 字节集_取长度 (欲执行的程序))
ClearProcess (运行信息)
返回 (假)
WriteProcessMemory (运行信息.进程句柄, ImageBase ＋ ish.VirtualAddress, 欲执行的程序 [ish.PointerToRawData ＋ 1], ish.SizeOfRawData, 0)
VirtualProtectEx (运行信息.进程句柄, ImageBase ＋ ish.VirtualAddress, ish.VirtualSize, Protect (ish.characteristics), addr)
计次循环尾 ()
WriteProcessMemory2 (运行信息.进程句柄, context.Ebx ＋ 8, ImageBase, 4, 0)
context.Eax ＝ ImageBase ＋ inh.OptionalHeader.AddressOfEntryPoint
SetThreadContext (运行信息.主线程句柄, context)
ResumeThread (运行信息.主线程句柄)
如果真 (等待程序运行完毕)
WaitForSingleObject (运行信息.进程句柄, -1)
如果真 (是否为空 (运行信息))
CloseHandle (运行信息.主线程句柄)
CloseHandle (运行信息.进程句柄)
返回 (真)

子程序名	返回值类型	公开	备 注
ClearProcess
参数名	类 型	参考	可空	数组	备 注
运行信息	运行信息

TerminateProcess (运行信息.进程句柄, 0)
CloseHandle (运行信息.主线程句柄)
CloseHandle (运行信息.进程句柄)
连续赋值 (0, 运行信息.进程ID, 运行信息.进程句柄, 运行信息.主线程ID, 运行信息.主线程句柄)

.版本 2<br /> <br /> 连续赋值 (0, 运行信息.进程ID, 运行信息.进程句柄, 运行信息.主线程ID, 运行信息.主线程句柄)<br /> .如果真 (欲执行的程序 ＝ {  })<br />     返回 (假)<br /> .如果真结束<br /> CopyMemory_idh (idh, 欲执行的程序 [1], Len_idh (idh))<br /> .如果真 (idh.e_magic ≠ 23117)<br />     返回 (假)<br /> .如果真结束<br /> CopyMemory_inh (inh, 欲执行的程序 [idh.e_lfanew ＋ 1], Len_inh (inh))<br /> .如果真 (inh.Signature ≠ 17744)<br />     返回 (假)<br /> .如果真结束<br /> si.cb ＝ Len_si (si)<br /> .如果真 (是否为空 (窗口显示方式) ＝ 假 且 窗口显示方式 ≠ 2 且 窗口显示方式 ＞ 0 且 窗口显示方式 ≤ 6)<br />     si.dwFlags ＝ 1<br />     si.wShowWindow ＝ 多项选择 (窗口显示方式, 0, 5, 2, 3, 8, 7)<br /> .如果真结束<br /> .如果真 (CreateProcess (0, 选择 (是否为空 (外壳程序路径), 取cmd路径 (), 外壳程序路径) ＋ 选择 (是否为空 (命令行) 或 命令行 ＝ “”, “”, “ ” ＋ 命令行), 0, 0, 0, 4, 0, 0, si, 运行信息) ＝ 0)<br />     返回 (假)<br /> .如果真结束<br /> context.ContextFlags ＝ 65538<br /> .如果真 (GetThreadContext (运行信息.主线程句柄, context) ＝ 0)<br />     ClearProcess (运行信息)<br />     返回 (假)<br /> .如果真结束<br /> ReadProcessMemory (运行信息.进程句柄, context.Ebx ＋ 8, addr, 4, 0)<br /> .如果真 (addr ＝ 0)<br />     ClearProcess (运行信息)<br />     返回 (假)<br /> .如果真结束<br /> .如果真 (ZwUnmapViewOfSection (运行信息.进程句柄, addr) ＝ 0)<br />     ClearProcess (运行信息)<br />     返回 (假)<br /> .如果真结束<br /> ImageBase ＝ VirtualAllocEx (运行信息.进程句柄, inh.OptionalHeader.ImageBase, inh.OptionalHeader.SizeOfImage, 12288, 4)<br /> .如果真 (ImageBase ＝ 0)<br />     ClearProcess (运行信息)<br />     返回 (假)<br /> .如果真结束<br /> WriteProcessMemory (运行信息.进程句柄, ImageBase, 欲执行的程序 [1], inh.OptionalHeader.SizeOfHeaders, 0)<br /> lOffset ＝ idh.e_lfanew ＋ Len_inh (inh)<br /> .计次循环首 (inh.FileHeader.NumberOfSections, i)<br />     CopyMemory_ish (ish, 欲执行的程序 [lOffset ＋ (i － 1) × 40 ＋ 1], Len_ish (ish))<br />     .如果真 (ish.PointerToRawData ＋ 1 ＞ 字节集_取长度 (欲执行的程序))<br />         ClearProcess (运行信息)<br />         返回 (假)<br />     .如果真结束<br />     WriteProcessMemory (运行信息.进程句柄, ImageBase ＋ ish.VirtualAddress, 欲执行的程序 [ish.PointerToRawData ＋ 1], ish.SizeOfRawData, 0)<br />     VirtualProtectEx (运行信息.进程句柄, ImageBase ＋ ish.VirtualAddress, ish.VirtualSize, Protect (ish.characteristics), addr)<br /> .计次循环尾 ()<br /> WriteProcessMemory2 (运行信息.进程句柄, context.Ebx ＋ 8, ImageBase, 4, 0)<br /> context.Eax ＝ ImageBase ＋ inh.OptionalHeader.AddressOfEntryPoint<br /> SetThreadContext (运行信息.主线程句柄, context)<br /> ResumeThread (运行信息.主线程句柄)<br /> .如果真 (等待程序运行完毕)<br />     WaitForSingleObject (运行信息.进程句柄, -1)<br /> .如果真结束<br /> .如果真 (是否为空 (运行信息))<br />     CloseHandle (运行信息.主线程句柄)<br />     CloseHandle (运行信息.进程句柄)<br /> .如果真结束<br /> 返回 (真)<br /> <br /> .子程序 ClearProcess<br /> .参数 运行信息, 运行信息, 参考<br /> <br /> TerminateProcess (运行信息.进程句柄, 0)<br /> CloseHandle (运行信息.主线程句柄)<br /> CloseHandle (运行信息.进程句柄)<br /> 连续赋值 (0, 运行信息.进程ID, 运行信息.进程句柄, 运行信息.主线程ID, 运行信息.主线程句柄)

内存运行.e (19.61 KB, 下载次数: 929)

2018-2-7 00:01 上传

点击文件名下载附件

liuyuxin188

        开源精神必须支持~

qzser1

支持开源~！感谢分享

dengxiao

6666666666666666

生活2028

条件是什么呢

生活2028

能不能用看看

qq73s5456

60M 左右的EXE ， 跑到  VirtualAllocEx  时出错， 分配不了这么多的内存，

andyfeifei

支持一下的哈哈

无极

学习一下，感谢楼主分享！

li028li