Skip to content

saadmahboob/MemoryModule

BranchesTags
 
 

Repository files navigation

MemoryModule

Функции, которые используются для загрузки модулей (LoadLibrary, LoadLibraryEx) не поддерживают загрузку модулей из памяти. Данный модуль реализует данную функцию.

Основа была взята с репозитария: https://github.com/fancycode/MemoryModule

Вносятся правки которые позволяют полноценно запускать EXE из памяти.

История:

15.02.16 - Реализована возможность указания командной строки перед запуском EntryPoint. Поток, исполняющийся внутри MemoryModule маркируется изменением значения ProcessParameters в _PEB. Производится перехват (методом импорта) некоторых важных функций для изоляции от основного процесса. !Модуль не учитывается в списке модулей процесса!

16.02.16 - Некоторые фиксы в TLS.

19.02.16 - Введена функция TryFreeMem и флаг bForceMemFree для "насильного" освобождения памяти в случае её занятости. !Использовать, только если основной процесс больше не будет использоваться, иначе могут быть ошибки!

Проблемы:

  1. При отсутствии таблицы .reloc и невозможности выделить нужную память по ImageBase запуск модуля становится невозможным.

Пример запуска:

wchar_t ModuleName[64+1];
memset(ModuleName, 0x00, (64+1)*2);

GetModuleFileNameW(NULL, ModuleName, 64);

HMODULE hThisModule = GetModuleHandle(L"MyDllOrExe.dll");

HRSRC hResInfo = FindResource(hThisModule, MAKEINTRESOURCE(IDR_EXE1), RT_RCDATA);
HGLOBAL hRes = LoadResource(hThisModule, hResInfo);
char *resData = (char*)LockResource(hRes);

IMAGE_DOS_HEADER *hDOS = (IMAGE_DOS_HEADER*)resData;
IMAGE_NT_HEADERS32 *hNT = (IMAGE_NT_HEADERS32*)(resData+hDOS->e_lfanew);

HMEMORYMODULE hM = MemoryLoadLibrary(resData, hNT->OptionalHeader.SizeOfImage, true);
hResInfo = FindResource(hThisModule, MAKEINTRESOURCE(IDR_PARAMS1), RT_RCDATA);
hRes = LoadResource(hThisModule, hResInfo);
wchar_t *CommandLine = (wchar_t*)LockResource(hRes);

MEMORYMODULE_START_ARGS moduleStartArgs;	// Startup struct
moduleStartArgs.EntryPoint = NULL;		// Start func address. If NULL - is EntryPoint
moduleStartArgs.CommandLine = CommandLine;	// CommandLine
moduleStartArgs.InThread = true;		// Run in new thread
MemoryCallEntryPoint(hM, &moduleStartArgs);	// CALL

About

Library to load a DLL from memory.

www.joachim-bauch.de/tutorials/loading-a-dll-from-memory/

Resources

Readme

License

MPL-2.0 license
Activity

Stars

0 stars

Watchers

1 watching

Forks

0 forks
Report repository

Releases

4 tags

Packages

No packages published

Languages

  • C 73.3%
  • C++ 20.1%
  • Makefile 3.4%
  • CMake 2.5%
  • Other 0.7%
pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy