直接在内存运行PE

使用了PE加载技术、Hook技术用程序加载PE文件到内存并运行。当在内存中运行的程序，比如arp.EXE执行完之后就会退出，那结果是ExitProcess被调用，那将是我们主进程也结束，显然我们不希望这样。 处理办法：HOOK ExitProcess。问题来了，对MS的许多控制台程序，它们退出都是调用exit，所以如果HOOK ExitProcess， 那我们俩次在内存中运行arp.EXE之后就会死锁。所以对这类程序而言，不能H OOK ExitProcess，只能HOOK msvcrt!exit。LOADER要加载一个EXE文件，这个EXE文件加载的地址是在0x400000。在我们LOADER的MAIN函数里面，这个地址已经被占用，而你是不能去Free这个地址 重新分布的，这样可能会导致程序崩溃，处理方法相见说明。