精易程序内存中运行，问题，EXE大小问题，求更改源码BUG

茂易

精易程序内存中运行，问题，EXE大小问题
同样的的源码，通用的编译，不同的大小，为什么大的无法运行啊，已经提示运行成功了，但是不显示窗口，小的就没问题，这是有大小限制吗？大的，小的都没壳，大的只是加了图片资源，一样的代码。
上一天帖子说是壳指针BUG，求更改源码

  

子程序名	返回值类型	公开	备 注
程序_内存中运行EXE	逻辑型		可以直接运行资源中的程序，不必释放。成功返回真，失败返回假。
参数名	类 型	参考	可空	数组	备 注
欲执行的程序	字节集				欲执行的程序，不支持某些加了壳的程序，请自行测试。
命令行	文本型				为程序提供的命令行参数，不需要请留空。
外壳程序路径	文本型				外壳程序的路径(如果用系统程序做外壳，如cmd.exe、svchost.exe，可以实现穿防火墙，呵呵)，不支持某些程序，请自行测试；不在当前目录下要提供绝对路径；留空默认为cmd.exe，如果无法运行，请换用不同的程序尝试。
等待程序运行完毕	逻辑型				默认为假，即不等待。
窗口显示方式	整数型				1#隐藏窗口； 2#普通激活； 3#最小化激活； 4#最大化激活； 5#普通不激活； 6#最小化不激活。如果省略本参数，默认为“普通激活”方式。
运行信息	精易_进程结构				用来接收在内存中执行的exe的运行信息(进程、主线程的句柄和ID)。不需要可留空。

变量名	类 型	静态	数组	备 注
idh	IMAGE_DOS_HEADER
inh	IMAGE_NT_HEADERS
ish	IMAGE_SECTION_HEADER
si	STARTUPINFO
context	CONTEXT86
ImageBase	整数型
i	整数型
addr	整数型
lOffset	整数型

连续赋值 (0, 运行信息.进程标识符, 运行信息.进程句柄, 运行信息.线程标识符, 运行信息.线程句柄)
如果真 (欲执行的程序 ＝ {  })
返回 (假)
RtlMoveMemory_IMAGE_DOS_HEADER (idh, 欲执行的程序 [1], Len_idh (idh))
如果真 (idh.e_magic ≠ 23117)
返回 (假)
RtlMoveMemory_IMAGE_NT_HEADERS (inh, 欲执行的程序 [idh.e_lfanew ＋ 1], Len_inh (inh))
如果真 (inh.Signature ≠ 17744)
返回 (假)
si.cb ＝ 68  ' sizeof(STARTUPINFO)
如果真 (是否为空 (窗口显示方式) ＝ 假 且 窗口显示方式 ≠ 2 且 窗口显示方式 ＞ 0 且 窗口显示方式 ≤ 6)
si.dwFlags ＝ 1
si.wShowWindow ＝ 多项选择 (窗口显示方式, 0, 5, 2, 3, 8, 7)
如果真 (CreateProcessA (0, 选择 (是否为空 (外壳程序路径), 取cmd路径 (), 外壳程序路径) ＋ 选择 (是否为空 (命令行) 或 命令行 ＝ “”, “”, “ ” ＋ 命令行), 0, 0, 假, 4, 0, 0, si, 运行信息) ＝ 假)
返回 (假)
context.ContextFlags ＝ 65538
如果真 (GetThreadContext (运行信息.线程句柄, context) ＝ 0)
ClearProcess (运行信息)
返回 (假)
ReadProcessMemory (运行信息.进程句柄, context.Ebx ＋ 8, addr, 4, 0)
如果真 (addr ＝ 0)
ClearProcess (运行信息)
返回 (假)
如果真 (ZwUnmapViewOfSection (运行信息.进程句柄, addr) ＝ 0)
ClearProcess (运行信息)
返回 (假)
ImageBase ＝ VirtualAllocEx (运行信息.进程句柄, inh.OptionalHeader.ImageBase, inh.OptionalHeader.SizeOfImage, 12288, 4)
如果真 (ImageBase ＝ 0)
ImageBase ＝ VirtualAllocEx (运行信息.进程句柄, 0, inh.OptionalHeader.SizeOfImage, 12288, 4)
如果真 (ImageBase ＝ 0)
ClearProcess (运行信息)
返回 (假)
WriteProcessMemory (运行信息.进程句柄, ImageBase, 欲执行的程序 [1], inh.OptionalHeader.SizeOfHeaders, 0)
lOffset ＝ idh.e_lfanew ＋ Len_inh (inh)
计次循环首 (inh.FileHeader.NumberOfSections, i)
RtlMoveMemory_IMAGE_SECTION_HEADER (ish, 欲执行的程序 [lOffset ��� (i － 1) × 40 ＋ 1], Len_ish (ish))
如果真 (ish.PointerToRawData ＋ 1 ＞ 字节集_取长度 (欲执行的程序))
ClearProcess (运行信息)
返回 (假)
WriteProcessMemory (运行信息.进程句柄, ImageBase ＋ ish.VirtualAddress, 欲执行的程序 [ish.PointerToRawData ＋ 1], ish.SizeOfRawData, 0)
VirtualProtectEx (运行信息.进程句柄, ImageBase ＋ ish.VirtualAddress, ish.VirtualSize, Protect (ish.characteristics), addr)
计次循环尾 ()
WriteProcessMemory_整数35 (运行信息.进程句柄, context.Ebx ＋ 8, ImageBase, 4, 0)
context.Eax ＝ ImageBase ＋ inh.OptionalHeader.AddressOfEntryPoint
SetThreadContext (运行信息.线程句柄, context)
ResumeThread (运行信息.线程句柄)
如果真 (等待程序运行完毕)
WaitForSingleObject (运行信息.进程句柄, -1)
如果真 (是否为空 (运行信息))
CloseHandle (运行信息.线程句柄)
CloseHandle (运行信息.进程句柄)
返回 (真)

.版本 2<br /> <br /> .子程序 程序_内存中运行EXE, 逻辑型, 公开, 可以直接运行资源中的程序，不必释放。成功返回真，失败返回假。<br /> .参数 欲执行的程序, 字节集, , 欲执行的程序，不支持某些加了壳的程序，请自行测试。<br /> .参数 命令行, 文本型, 可空, 为程序提供的命令行参数，不需要请留空。<br /> .参数 外壳程序路径, 文本型, 可空, 外壳程序的路径(如果用系统程序做外壳，如cmd.exe、svchost.exe，可以实现穿防火墙，呵呵)，不支持某些程序，请自行测试；不在当前目录下要提供绝对路径；留空默认为cmd.exe，如果无法运行，请换用不同的程序尝试。<br /> .参数 等待程序运行完毕, 逻辑型, 可空, 默认为假，即不等待。<br /> .参数 窗口显示方式, 整数型, 可空, 1#隐藏窗口； 2#普通激活； 3#最小化激活； 4#最大化激活； 5#普通不激活； 6#最小化不激活。如果省略本参数，默认为“普通激活”方式。<br /> .参数 运行信息, 精易_进程结构, 参考 可空, 用来接收在内存中执行的exe的运行信息(进程、主线程的句柄和ID)。不需要可留空。<br /> .局部变量 idh, IMAGE_DOS_HEADER<br /> .局部变量 inh, IMAGE_NT_HEADERS<br /> .局部变量 ish, IMAGE_SECTION_HEADER<br /> .局部变量 si, STARTUPINFO<br /> .局部变量 context, CONTEXT86<br /> .局部变量 ImageBase, 整数型<br /> .局部变量 i, 整数型<br /> .局部变量 addr, 整数型<br /> .局部变量 lOffset, 整数型<br /> <br /> 连续赋值 (0, 运行信息.进程标识符, 运行信息.进程句柄, 运行信息.线程标识符, 运行信息.线程句柄)<br /> .如果真 (欲执行的程序 ＝ {  })<br />     返回 (假)<br /> .如果真结束<br /> RtlMoveMemory_IMAGE_DOS_HEADER (idh, 欲执行的程序 [1], Len_idh (idh))<br /> .如果真 (idh.e_magic ≠ 23117)<br />     返回 (假)<br /> .如果真结束<br /> RtlMoveMemory_IMAGE_NT_HEADERS (inh, 欲执行的程序 [idh.e_lfanew ＋ 1], Len_inh (inh))<br /> .如果真 (inh.Signature ≠ 17744)<br />     返回 (假)<br /> .如果真结束<br /> si.cb ＝ 68  ' sizeof(STARTUPINFO)<br /> .如果真 (是否为空 (窗口显示方式) ＝ 假 且 窗口显示方式 ≠ 2 且 窗口显示方式 ＞ 0 且 窗口显示方式 ≤ 6)<br />     si.dwFlags ＝ 1<br />     si.wShowWindow ＝ 多项选择 (窗口显示方式, 0, 5, 2, 3, 8, 7)<br /> .如果真结束<br /> .如果真 (CreateProcessA (0, 选择 (是否为空 (外壳程序路径), 取cmd路径 (), 外壳程序路径) ＋ 选择 (是否为空 (命令行) 或 命令行 ＝ “”, “”, “ ” ＋ 命令行), 0, 0, 假, 4, 0, 0, si, 运行信息) ＝ 假)<br />     返回 (假)<br /> .如果真结束<br /> context.ContextFlags ＝ 65538<br /> .如果真 (GetThreadContext (运行信息.线程句柄, context) ＝ 0)<br />     ClearProcess (运行信息)<br />     返回 (假)<br /> .如果真结束<br /> ReadProcessMemory (运行信息.进程句柄, context.Ebx ＋ 8, addr, 4, 0)<br /> .如果真 (addr ＝ 0)<br />     ClearProcess (运行信息)<br />     返回 (假)<br /> .如果真结束<br /> .如果真 (ZwUnmapViewOfSection (运行信息.进程句柄, addr) ＝ 0)<br />     ClearProcess (运行信息)<br />     返回 (假)<br /> .如果真结束<br /> ImageBase ＝ VirtualAllocEx (运行信息.进程句柄, inh.OptionalHeader.ImageBase, inh.OptionalHeader.SizeOfImage, 12288, 4)<br /> .如果真 (ImageBase ＝ 0)<br />     ImageBase ＝ VirtualAllocEx (运行信息.进程句柄, 0, inh.OptionalHeader.SizeOfImage, 12288, 4)<br /> .如果真结束<br /> .如果真 (ImageBase ＝ 0)<br />     ClearProcess (运行信息)<br />     返回 (假)<br /> .如果真结束<br /> WriteProcessMemory (运行信息.进程句柄, ImageBase, 欲执行的程序 [1], inh.OptionalHeader.SizeOfHeaders, 0)<br /> lOffset ＝ idh.e_lfanew ＋ Len_inh (inh)<br /> .计次循环首 (inh.FileHeader.NumberOfSections, i)<br />     RtlMoveMemory_IMAGE_SECTION_HEADER (ish, 欲执行的程序 [lOffset ＋ (i － 1) × 40 ＋ 1], Len_ish (ish))<br />     .如果真 (ish.PointerToRawData ＋ 1 ＞ 字节集_取长度 (欲执行的程序))<br />         ClearProcess (运行信息)<br />         返回 (假)<br />     .如果真结束<br />     WriteProcessMemory (运行信息.进程句柄, ImageBase ＋ ish.VirtualAddress, 欲执行的程序 [ish.PointerToRawData ＋ 1], ish.SizeOfRawData, 0)<br />     VirtualProtectEx (运行信息.进程句柄, ImageBase ＋ ish.VirtualAddress, ish.VirtualSize, Protect (ish.characteristics), addr)<br /> .计次循环尾 ()<br /> WriteProcessMemory_整数35 (运行信息.进程句柄, context.Ebx ＋ 8, ImageBase, 4, 0)<br /> context.Eax ＝ ImageBase ＋ inh.OptionalHeader.AddressOfEntryPoint<br /> SetThreadContext (运行信息.线程句柄, context)<br /> ResumeThread (运行信息.线程句柄)<br /> .如果真 (等待程序运行完毕)<br />     WaitForSingleObject (运行信息.进程句柄, -1)<br /> .如果真结束<br /> .如果真 (是否为空 (运行信息))<br />     CloseHandle (运行信息.线程句柄)<br />     CloseHandle (运行信息.进程句柄)<br /> .如果真结束<br /> 返回 (真)

茂易

大的40M，小的几百K  ，貌似超过20M 就会出BUG

zp0802

111111111111111

茂易

zp0802 发表于 2024-6-14 19:53
111111111111111

？？？？？？？？？？？？？

茂易

有没有大大解决一下，求求了

不二猫猫

等大佬解决，顺便看看原理是什么