Ausführen einer EXE-Datei aus einem Speicherpuffer mit CreateProcess
Die CreateProcess-Funktion wird üblicherweise zum Starten einer ausführbaren Datei (EXE) verwendet, die in einer Datei gespeichert ist . Ist es jedoch möglich, eine EXE-Datei direkt aus einem Speicherpuffer auszuführen, ohne sie in eine Datei zu schreiben? Diese Frage stellt sich in Szenarien wie dem Patchen von Spielen, in denen Sie möglicherweise eine verpackte EXE-Datei aktualisieren müssen, ohne DRM zu deaktivieren.
Lösung:
Ja, es ist möglich, eine auszuführen EXE aus einem Speicherpuffer mithilfe von CreateProcess mit den folgenden Schritten:
-
Prozesserstellung anhalten: Rufen Sie CreateProcess mit dem Flag CREATE_SUSPENDED auf, um den Prozess anzuhalten. Dies gibt Zeit, den Prozessspeicher zu ändern.
-
Prozesskontext abrufen: Rufen Sie den Kontext des angehaltenen Threads mit GetThreadContext ab. Das EBX-Register enthält einen Zeiger auf die Process Environment Block (PEB)-Struktur.
-
Basisadresse bestimmen: Erhalten Sie die Basisadresse des Prozesses von [EBX 8] in der PEB-Struktur.
-
In-Memory-EXE kopieren: Schreiben Sie die In-Memory-EXE mit WriteProcessMemory in den Speicherbereich des angehaltenen Prozesses, wenn die Basisadressen und Bildgrößen übereinstimmen.
-
Bei nicht übereinstimmenden Bedingungen anpassen: Bei nicht übereinstimmenden Bedingungen entfernen Sie die Zuordnung des Originalbilds mit ZwUnmapViewOfSection, weisen Sie Speicher mit VirtualAllocEx zu, schreiben Sie die In-Memory-EXE-Datei und patchen Sie die PEB->ImageBaseAddress.
-
Einstiegspunkt festlegen: Schreiben Sie die EntryPoint-Adresse im Thread-Kontext mit dem Einstiegspunkt der speicherinternen EXE-Datei neu.
-
Prozess fortsetzen: Setzen Sie schließlich den angehaltenen Prozess mit fort ResumeThread.
Indem Sie diese Schritte befolgen, können Sie eine EXE-Datei effektiv aus einem Speicherpuffer ausführen, ohne sie in eine Datei schreiben zu müssen, und erfüllen so die Anforderung, Patches zu verteilen, ohne den DRM-Wrapper zu stören.
Das obige ist der detaillierte Inhalt vonKönnen Sie mit CreateProcess eine EXE-Datei aus einem Speicherpuffer ausführen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Stellungnahme:Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn