Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > C/C++: Системное программирование и WinAPI > Изменение екзешником себя во время выполнения


Автор: CO4UHUTEJIb 2.2.2012, 16:29
Подскажите пожалуйста, можно ли средствами WinApi, создать такой бинарный файл, который бы при запуске мог поменять файл на диске из которого он запущен? И если можно подскажите пожалуйста как.

Автор: Dem_max 2.2.2012, 16:51
EXE в EXE ????

Автор: 12usver12 2.2.2012, 17:13
нет нельзя и удалить также, переименовать/переместить можно  

Автор: 12usver12 2.2.2012, 19:03
если быть точнее то при создании процесса на основе файла происходит что-то похожее
Код

NtOpenFile(&FileHandle,
              SYNCHRONIZE | FILE_EXECUTE | FILE_READ_DATA,
              &ObjectAttributes,
              &IoStatusBlock,
              FILE_SHARE_READ,
              FILE_SYNCHRONOUS_IO_NONALERT | FILE_NON_DIRECTORY_FILE);

NtCreateSection ( &SectionHandle, STANDARD_RIGHTS_REQUIRED | 0x1F,
                    NULL, &qwMaximumSize,
                    PAGE_EXECUTEREAD, SEC_IMAGE, NtFileHandle );

что сводит на нет попытки "Изменение екзешником себя во время выполнения", полностью файл будет "отпущен" после закрытия своего процесса

Автор: feodorv 2.2.2012, 22:57
Цитата(CO4UHUTEJIb @  2.2.2012,  16:29 Найти цитируемый пост)
при запуске мог поменять файл на диске из которого он запущен

Да, http://forum.vingrad.ru/forum/topic-345840.html никак. И то это будет другой бинарник, но с этим же именем.

Автор: DarthTon 3.2.2012, 13:38
Ну вообще есть один метод. Но он не очень безопасный и я бы не рекомендовал его использовать. 

Идея заключается в прямой перезаписи байтов файла на диске. 
Для этого сначала необходимо получить битмап занятых кластеров файла с помощью FSCTL_GET_RETRIEVAL_POINTERS (Екзешник обычно имеет достаточно большой размер для того, что бы он не был размещен в самом MFT) и пересчитать офсет файла на томе в офсет на диске.

Чтобы винда разрешила писать в область диска принадлежащую тому, необходимо сохранить и удалить MBR (0й сектор)(в случае с GPT немного по-другому) и вызвать IOCTL_DISK_UPDATE_PROPERTIES для диска. После этого можно, собственно, записать данные куда надо и после этого восстановить MBR. Однако после восстановления MBR нет гарантии того, что разделам будут присвоены те же буквы что были до удаления. 

Можно и без манипуляций с MBR, но тогда надо использовать драйвер.

Автор: xvr 6.2.2012, 14:26
Цитата(DarthTon @  3.2.2012,  13:38 Найти цитируемый пост)
Но он не очень безопасный

Не то слово  smile А уж как антивирусы орать будут хором!  smile 

Автор: CO4UHUTEJIb 8.2.2012, 07:48
Всем спасибо за помощь.

Автор: bass 8.2.2012, 19:57
Почему нельзя ....
1 вариант Это запустить наш ехе в памяти другого процесса... Ищи запуск ехе из памяти....
2 вариант создать длл инжектить в другой процесс, совой завершить, выполнить что нужно из длл, запустить заново процесс.. ...
3 А вот с этим можно поэкспирементировать на длл точно получаеться.... UnmapViewOfFile

Все про ХР

Автор: 500mhz 8.2.2012, 21:42
наверно можно изменить оверлей, он не грузится сам в память

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)