ファイルストレージを使用せずにメモリバッファからプロセスを直接作成するにはどうすればよいですか?

メモリ バッファからのプロセスの作成

この投稿では、ファイルストレージ。これは、提供されているバックストーリーなど、コード インジェクションや安全なパッチ適用に関連する便利なシナリオです。

技術的な内訳

Windows は、CREATE_SUSPENDED フラグを備えた CreateProcess API を提供します。 ResumeThread 関数が呼び出されるまで、プロセスを一時停止したままにすることができます。このウィンドウは、実行前にプロセス メモリとコンテキストを操作する機会を提供します。

1. プロセスの一時停止と検査: CreateProcess(CREATE_SUSPENDED) を使用してプロセスを一時停止し、次を使用して一時停止されたスレッドのコンテキストを取得します。 GetThreadContext.
2. Identify Base Address: EBX レジスタには、プロセス環境ブロック (PBE) 構造体へのポインターが含まれます。 ImageBaseAddress は、PBE 内のオフセット 8 で見つかります。
3. メモリ内 EXE を準備します: 一時停止されたプロセスとメモリ内 EXE のベース アドレスが一致し、メモリ内 EXE が一致する場合EXE のサイズがそれ以下である場合は、WriteProcessMemory を使用して中断されたプロセスのメモリに直接書き込みます。
4. Magic Required: 手順 3 の条件が満たされない場合は、元のイメージのマップを解除します ( ZwUnmapViewOfSection)、VirtualAllocEx を使用してメモリを割り当て、WriteProcessMemory を使用してメモリ内 EXE を書き込みます。
5. PEB とスレッド コンテキストにパッチを適用します: 中断されたプロセスの ImageBaseAddress をメモリ内 EXE のベース アドレスで更新します。 、スレッド コンテキストの EntryPoint アドレスにパッチを適用し、SetThreadContext を使用して変更されたコンテキストを保存します。
6. 実行の再開: ResumeThread を使用して中断されたプロセスを再開し、メモリ内 EXE を実行します。

結論

これらの手順に従うことで、メモリ バッファからプロセスを作成でき、コード インジェクションと安全なパッチ適用シナリオに柔軟性を提供できます。

以上がファイルストレージを使用せずにメモリバッファからプロセスを直接作成するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。