Запуск exe прямо из памяти

Сейчас на форуме: zombi-vadim, zds (+4 невидимых)

Посл.ответ	Сообщение
Phantom007 Ранг: 19.7 (новичок), 14thx Активность: 0.03↘0 Статус: Участник	Создано: 04 августа 2013 17:38 · Личное сообщение · #1 Здравствуйте! В общем, появился такой вопрос... Нужно запустить exe из массива (О_о). Поясняю: У нас есть массив, который содержит программу которую нужно запустить ( Code: const exeSize = 15360; exeData: Array[1..exeSize] of Byte =( $4D,$5A,$50... ) и есть еще один массив, в котором содержится дамп длл, без которой наша программа работать не может. Нужно как то запустить эту прогу, но чтобы её никуда не распаковывать (ну зачем её кому то видеть?).

vden Ранг: 112.9 (ветеран), 186thx Активность: 0.09↘0.01 Статус: Участник	Создано: 04 августа 2013 17:47 · Поправил: vden · Личное сообщение · #2 одна из реализаций, которая на основе загруженного PE образа, проецирует образ в текущий процесс, настраивает релокации, импорт и вызывает точку входа https://code.google.com/p/pe-image-for-delphi/source/browse/trunk/PE.ExecutableLoader.pas
Phantom007 Ранг: 19.7 (новичок), 14thx Активность: 0.03↘0 Статус: Участник	Создано: 04 августа 2013 18:06 · Поправил: Phantom007 · Личное сообщение · #3 vden Хмм.. спасибо, посмотрю. P.S. С запуском exe с памяти разобрался, а вот как к нему подсоединить dll... без понятия P.S.S. Сам код: Code: //***** MEMORY STARTING **// var nb, i: Cardinal; ZwUnmapViewOfSection: function (SectionHandle: THandle; p: Pointer): DWORD; stdcall; pi: TProcessInformation; si: TStartupInfo; x, q: Pointer; nt: PIMAGE_NT_HEADERS; context: TContext; sect: PIMAGE_SECTION_HEADER; DLL_nt: THandle; function protect(cristic: ULONG): ULONG; const Mapping: array [0..7] of ULONG = (PAGE_NOACCESS, PAGE_EXECUTE, PAGE_READONLY, PAGE_EXECUTE_READ, PAGE_READWRITE, PAGE_EXECUTE_READWRITE, PAGE_READWRITE, PAGE_EXECUTE_READWRITE); begin Result:= Mapping[cristic shr 29]; end; procedure MemoryRunner(data: Pointer); begin if data = nil then exit; DLL_nt:= LoadLibrary( 'ntdll.dll' ); if(DLL_nt <> 0) then begin @ZwUnmapViewOfSection:= GetProcAddress(DLL_nt, 'ZwUnmapViewOfSection'); if(@ZwUnmapViewOfSection = nil) then begin FreeLibrary(DLL_nt); ExitProcess(0); end; end else ExitProcess(0); si.cb:= SizeOf(si); CreateProcess(nil, 'cmd.exe', nil, nil, FALSE, CREATE_SUSPENDED, nil, nil, si, pi); context.ContextFlags:= CONTEXT_INTEGER; GetThreadContext(pi.hThread, context); ReadProcessMemory(pi.hProcess, PCHAR(context.ebx) + 8, @x, SizeOf(x), nb); ZwUnmapViewOfSection(pi.hProcess, x); nt:= PIMAGE_NT_HEADERS(PCHAR(data) + PIMAGE_DOS_HEADER(data).e_lfanew); q:= VirtualAllocEx(pi.hProcess, Pointer(nt.OptionalHeader.ImageBase), nt.OptionalHeader.SizeOfImage, MEM_RESERVE or MEM_COMMIT, PAGE_EXECUTE_READWRITE); WriteProcessMemory(pi.hProcess, q, data, nt.OptionalHeader.SizeOfHeaders, nb); sect:= PIMAGE_SECTION_HEADER(nt); Inc(PIMAGE_NT_HEADERS(sect)); for i:= 0 to nt.FileHeader.NumberOfSections - 1 do begin WriteProcessMemory(pi.hProcess, PCHAR(q) + sect.VirtualAddress, PCHAR(data) + sect.PointerToRawData, sect.SizeOfRawData, nb); VirtualProtectEx(pi.hProcess, PCHAR(q) + sect.VirtualAddress, sect.SizeOfRawData, protect(sect.Characteristics), @x); Inc(sect); end; WriteProcessMemory(pi.hProcess, PCHAR(context.Ebx) + 8, @q, SizeOf(q), nb); context.Eax:= ULONG(q) + nt.OptionalHeader.AddressOfEntryPoint; SetThreadContext(pi.hThread, context); ResumeThread(pi.hThread); FreeLibrary(DLL_nt); end; //*** END - MEMORY STARTING ****// begin Writeln('rabbit18 - dll&exe injector by looboo'); MemoryRunner(@exeData); readln; end.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 04 августа 2013 18:09 · Личное сообщение · #4 В темп положи и не жадничай, пусть лежит там и жрать не просит. Кодесов таких полно в гугле, в топку эти малварно-скрывающие топики.

Для печати