资 源 简 介
使用了PE加载技术、Hook技术用程序加载PE文件到内存并运行。当在内存中运行的程序,比如arp.EXE执行完之后就会退出,那结果是ExitProcess被调用,那将是我们主进程也结束,显然我们不希望这样。
处理办法:HOOK ExitProcess。问题来了,对MS的许多控制台程序,它们退出都是调用exit,所以如果HOOK ExitProcess, 那我们俩次在内存中运行arp.EXE之后就会死锁。所以对这类程序而言,不能H
OOK ExitProcess,只能HOOK msvcrt!exit。LOADER要加载一个EXE文件,这个EXE文件加载的地址是在0x400000。在我们LOADER的MAIN函数里面,这个地址已经被占用,而你是不能去Free这个地址
重新分布的,这样可能会导致程序崩溃,处理方法相见说明。
