将二进制文件加入VC资源后释放执行

    标题不知道这么说好不好,感觉很乱。

    我以前就很纳闷,为什么我一个木马的客户端,能配置好各种选项以后生成一个服务端。一个exe文件怎么生出另一个exe文件?

    一般的木马生成、木马释放都使用的这个方法,dll也可以加到资源中,这样我们的程序就可以免去包含很多乱七八糟的二进制文件,一个exe就够了,执行的时候再释放。

    其实原理很简单,把二进制文件导入到资源中。我们就以vs2010为例:

    0x01    在VC的资源视图中选择添加资源 - 导入,选择你要包含的exe

    001.jpg


    0x02    包含以后,会看到你选择的文件已经以二进制的形式展现在你面前:

    002.jpg


    0x03    来到代码编辑区,我们在需要使用这个exe文件的时候,从资源里拿出这段二进制代码,写入内存或一个磁盘文件就行了。首先定位我们的资源文件,其中IDR_RCEXE即为资源文件的ID:

HRSRC hRsrc = FindResource(NULL, MAKEINTRESOURCEA(IDR_RCEXE), TEXT("RCEXE"));
    0x04    获得资源文件大小,这个大小之后我们如果要提取出来会用到的:
DWORD dwSize = SizeofResource(NULL, hRsrc); 
    0x05    加载资源,使用之前获得的资源文件句柄hRsrc:
HGLOBAL hGlobal = LoadResource(NULL, hRsrc); 
    0x06    在内存中锁定资源,其返回值即为一个指向资源第一个字节的指针:
LPVOID pBuffer = LockResource(hGlobal); 
    0x07    已经获得了指针了,再怎么做就看你自己的了。比如我这里就是简单地将这个exe文件释放到硬盘的临时目录下 C:\Users\Phtih0n\AppData\Local\Temp,其中dwSize就是之前获得的资源文件大小:
FILE* fp = fopen("C:\Users\Phtih0n\AppData\Local\Temp\tmp100.exe", "wb");
		if (fp != NULL)
		{
			fwrite(pBuffer, sizeof(char), dwSize, fp)
			fclose(fp);
		}
    这样,下次就能直接调用C:\Users\Phtih0n\AppData\Local\Temp\tmp100.exe了。

    如果是dll,也是一样的,释放出来以后就能LoadLibrary调用它了。


    0x08    总结

    其实这一套过程和代码基本上就是固定的,获得资源句柄 - 获得资源文件大小 - 加载资源文件 - 锁定资源并获得其指针。

    以后写代码的时候就直接复制这一端,改一下就能为己用。

赞赏

喜欢这篇文章?打赏1元

评论

蒙召 回复

就是我不用VC怎么自订资源?

xiaopo 回复

1L观察仔细

luom 回复

两处错误
fopen("C:\Users\Phtih0n\AppData\Local\Temp\tmp100.exe", "w
转义
fwrite(pBuffer, sizeof(char), dwSize, fp)
分号

蒙召 回复

@luom 对

蒙召 回复

@luom 六行代码就有两个错误,点赞

whirlwind 回复

能否加下QQ493633628??认识下吧,我也西安的。

fsd 回复

@whirlwind:你很机智啊

体育设施 回复

留言是友谊的风帆,欣赏是网络的风度,与朋友网络相遇,交流感情是一种缘分,欢迎回访!

趣购网 回复

不错,学习了,

captcha