内存运行程序或称傀儡程序也可以称外壳程序中运行你的程序,
简单的摆在程序被创建后强制挂起 并卸载原程序的原有区、写
入新的程序的代码 在重新执行、它如果是光明面可以保护程序,
如果黑暗面便是一个纯病毒木马
最好选择在系统进程中运行,如cmd,svchost它只是一个可以
直接穿透防火墙就是一个非常诱人的条件、更别谈svchost连杀
软也不敢轻易动手、
如果是在QQ自身进程运行,你可以制作一个与QQ相同的界面
在你的程序写各种各样的恶意代码、窃取QQ账号密码及监视
用户操作及QQ窗体上所有的信息、及利用QQ的一些特权、
而用户却无法发现,但的确存在于众 想想不是很美妙吗?
但是这是违法行为 尽量不要做 本技术你若 应用在保护软件上、
我想会是一件很好的事情、
DLL本身是无毒的,至于使用的开发者是否别有用心我并
不可能会知道、该DLL是在x86环境下编译的、简单的说
你在项目中使用本DLL时必须选择x86环境、
金山火眼安全报告:http://fireeye.ijinshan.com/analyse.html?md5=61704f7ab843efcf3acdd1efc8c3b6b4&sha1=a4c3d63ae190a676d52bc414d052a30e4f6caddd&type=1
起初我并不想编写为Native DLL,但是后来因为无法在
svchost中运行cmd而选择了放弃、具体原因目前还不知
不过Native化也可以,至少可以兼容多个语言 而且本身
托管代码运行在CLR上,多多少少肯定会有一些区别、
C#、Delphi、C++、E、VB 倒也是一种不错的选择、对吧
CRTMemExecute 返回的是一个(进程标识 / PID)
你可以通过 Process.GetProcessById 得到操作它
的.NET上层互助类、
CRTMemExecute 第一个参数是 欲在宿主内存中运行的字节
CRTMemExecute 第二个参数是 欲被运行的宿主文件
CRTMemExecute 第三个参数是 欲在宿主内存中运行的字节长度
源代码:http://pan.baidu.com/s/1jGENpAI
版权声明:本文为博主原创文章,未经博主允许不得转载。