Версия для печати темы Нажмите сюда для просмотра этой темы в оригинальном формате

Форум программистов > C/C++: Системное программирование и WinAPI > Изменение екзешником себя во время выполнения

Автор: CO4UHUTEJIb 2.2.2012, 16:29

Подскажите пожалуйста, можно ли средствами WinApi, создать такой бинарный файл, который бы при запуске мог поменять файл на диске из которого он запущен? И если можно подскажите пожалуйста как.

Автор: Dem_max 2.2.2012, 16:51

EXE в EXE ????

Автор: 12usver12 2.2.2012, 17:13

нет нельзя и удалить также, переименовать/переместить можно

Автор: 12usver12 2.2.2012, 19:03

если быть точнее то при создании процесса на основе файла происходит что-то похожее Код NtOpenFile(&FileHandle,               SYNCHRONIZE | FILE_EXECUTE | FILE_READ_DATA,               &ObjectAttributes,               &IoStatusBlock,               FILE_SHARE_READ,               FILE_SYNCHRONOUS_IO_NONALERT | FILE_NON_DIRECTORY_FILE); NtCreateSection ( &SectionHandle, STANDARD_RIGHTS_REQUIRED | 0x1F,                     NULL, &qwMaximumSize,                     PAGE_EXECUTEREAD, SEC_IMAGE, NtFileHandle ); что сводит на нет попытки "Изменение екзешником себя во время выполнения", полностью файл будет "отпущен" после закрытия своего процесса

Автор: feodorv 2.2.2012, 22:57

Цитата(CO4UHUTEJIb @  2.2.2012,  16:29 ) при запуске мог поменять файл на диске из которого он запущен Да, http://forum.vingrad.ru/forum/topic-345840.html никак. И то это будет другой бинарник, но с этим же именем.

Автор: DarthTon 3.2.2012, 13:38

Ну вообще есть один метод. Но он не очень безопасный и я бы не рекомендовал его использовать.  Идея заключается в прямой перезаписи байтов файла на диске.  Для этого сначала необходимо получить битмап занятых кластеров файла с помощью FSCTL_GET_RETRIEVAL_POINTERS (Екзешник обычно имеет достаточно большой размер для того, что бы он не был размещен в самом MFT) и пересчитать офсет файла на томе в офсет на диске. Чтобы винда разрешила писать в область диска принадлежащую тому, необходимо сохранить и удалить MBR (0й сектор)(в случае с GPT немного по-другому) и вызвать IOCTL_DISK_UPDATE_PROPERTIES для диска. После этого можно, собственно, записать данные куда надо и после этого восстановить MBR. Однако после восстановления MBR нет гарантии того, что разделам будут присвоены те же буквы что были до удаления.  Можно и без манипуляций с MBR, но тогда надо использовать драйвер.

Автор: xvr 6.2.2012, 14:26

Цитата(DarthTon @  3.2.2012,  13:38 ) Но он не очень безопасный Не то слово   А уж как антивирусы орать будут хором!

Автор: CO4UHUTEJIb 8.2.2012, 07:48

Всем спасибо за помощь.

Автор: bass 8.2.2012, 19:57

Почему нельзя .... 1 вариант Это запустить наш ехе в памяти другого процесса... Ищи запуск ехе из памяти.... 2 вариант создать длл инжектить в другой процесс, совой завершить, выполнить что нужно из длл, запустить заново процесс.. ... 3 А вот с этим можно поэкспирементировать на длл точно получаеться.... UnmapViewOfFile Все про ХР

Автор: 500mhz 8.2.2012, 21:42

наверно можно изменить оверлей, он не грузится сам в память

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)