Пожно ли запустить экзешник из оперативки, на не с винда?
(Используя MapVievoffile)

можно. но только на нт.

Вопрос 1: 2000 = NT;
Вопрос 2: Если да, то как

если ты это на делфях собираешся реализовывать -- должен огорчить: мне не удалось такое даже под билдером ( только в студии ). так что о делфях можеш забыть...

Цитата(_hunter @ 25.4.2005, 23:03)

если ты это на делфях собираешся реализовывать -- должен огорчить: мне не удалось такое даже под билдером  ( только в студии ). так что о делфях можеш забыть...

Может всё таки покажешь как ты это сделал? Очень интересно.

Исполняемый файл помещается ресуром в приложение, и из приложения выполяется примерно вот такой код:

Код

program project2; uses   Windows,   sysutils,   rxtypes in 'Rxtypes.pas'; {$R rcx.res} Var  nb, i: Cardinal; function ZwUnmapViewOfSection(SectionHandle: THandle;   p: Pointer): DWord; stdcall; external 'ntdll.dll'; function protect(characteristics: ULONG): ULONG; const  mapping: array [0..7] of ULONG =   ( PAGE_NOACCESS, PAGE_EXECUTE, PAGE_READONLY, PAGE_EXECUTE_READ,     PAGE_READWRITE, PAGE_EXECUTE_READWRITE, PAGE_READWRITE, PAGE_EXECUTE_READWRITE); begin   Result := mapping[characteristics shr 29]; end; var   pi: TProcessInformation;   si: TStartupInfo;   x, p, q: Pointer;   nt: PIMAGE_NT_HEADERS;   context: TContext;   sect: PIMAGE_SECTION_HEADER; begin   si.cb := SizeOf(si);   CreateProcess(nil, 'cmd.exe', nil, nil, FALSE, CREATE_SUSPENDED, nil, nil, si, pi);   context.ContextFlags := CONTEXT_INTEGER;   GetThreadContext(pi.hThread,  context);  ReadProcessMemory(pi.hProcess,   PCHAR(context.ebx) + 8,    @x, sizeof (x),    nb    );   ZwUnmapViewOfSection(pi.hProcess, x);   p := LockResource(LoadResource(Hinstance, FindResource(Hinstance, 'EXE', RT_RCDATA)));  if p = nil then exit;   nt := PIMAGE_NT_HEADERS(PCHAR(p) + PIMAGE_DOS_HEADER(p).e_lfanew);   q := VirtualAllocEx( pi.hProcess,                        Pointer(nt.OptionalHeader.ImageBase),                        nt.OptionalHeader.SizeOfImage,                        MEM_RESERVE or MEM_COMMIT, PAGE_EXECUTE_READWRITE);   WriteProcessMemory(pi.hProcess, q, p, nt.OptionalHeader.SizeOfHeaders, nb);   sect := PIMAGE_SECTION_HEADER(nt);   Inc(PIMAGE_NT_HEADERS(sect));   for I := 0 to nt.FileHeader.NumberOfSections - 1 do     begin         WriteProcessMemory(pi.hProcess,                            PCHAR(q) + sect.VirtualAddress,                            PCHAR(p) + sect.PointerToRawData,                            sect.SizeOfRawData, nb);         VirtualProtectEx( pi.hProcess,                           PCHAR(q) + sect.VirtualAddress,                           sect.SizeOfRawData,                           protect(sect.Characteristics),                           @x);         Inc(sect);     end;   WriteProcessMemory(pi.hProcess, PCHAR(context.Ebx) + 8, @q, sizeof(q), nb);   context.Eax := ULONG(q) + nt.OptionalHeader.AddressOfEntryPoint;   SetThreadContext(pi.hThread, context);   ResumeThread(pi.hThread); end.

Как можно увидеть из кода, запуск приложения осуществляет CMD.EXE и имя процесса будет также CMD.EXE
Но это самый простой способ...

Обрадовался найдя этот пример!
Ещё более обрадовался, когда реализовал его, переведя на другой язык (Clarion 55)
ОДНАКО!
Из 30 тачек на двух - не работает!
А именно: вызывает перезагрузку компа!
Ничего не понимаю! Как избавиться от перезгруза ?
Может быть, добрый автор подскажет ?

а операционки на них какие стоят?

XP - SP2

PAGE_EXECUTE_READWRITE + DEP - ничё такого быть не может?

wadim, попробуйте временно отключить антивирусы.

Добавлено через 4 минуты и 32 секунды
  Еще вариант попробуйте удаленную отладку на машинах где падает винда и узнайте какой вызов приводить к таким последствиям. Отключите автоматическую перезагрузку при отказе системы. Посмотрите в синем экране смерти виновника.

1. Падает т.е. шустренько так ребутится ничего не говоря после размораживания потока
 ResumeThread(pi.hThread); (ДА, а в народившемся потоке стоит СТОП, до которого дело не доходит)
2. выяснял просто - расстановкой стопов в исходнике.
3. правильно работает на тачках с WinXP (Pro, Home), Win2K
4. первоначально баг проявился на AMD-шнике, думал - такая локализация и рыть в сторону различия в структуре CONTEXT,
    а сегодня уяснил, что и на INTEL тож багится
5. ща попробовать увидеть синий экран не могу, завтра - на работе.
6. то ж касается и DEP (кстати, не помню где глянуть - в boot.ini ?)
7. антивир стоит - NOD - он не мешает. каспер (к слову) - тот предупреждает, якобы, подозревает rootkit.
8. мысля: не может ли быть трабла со стеком?
    ведь в приведённом примере стек никак не трогается и запускаемому образу достаётся стек от CMD

Это сообщение отредактировал(а) wadim - 30.12.2008, 21:19

автоматическую перезагрузку(свойства системы-дополнительно-загрузка и восстановление-параметры) убери и смотри код bsod'а.

как бы там ни было, код в user-mode не должен приводить к таким фатальным последствиям, так что скорее всего вина на каком-либо ПО, имеющем kernel-составляющую - тот же nod, например.

1) Был снесён напрочь NOD.
2) DEP стоит по умолчанию - включено только для основных служб.
3) Был отключен авторебут.
4) синий экран смерти не показал ничего, кроме: 
STOP:0x0000008E (0xC0000005, 0x80529CDB, 0xB8A0F9FC, 0x00000000)
5) в дампе как искать виновника - не знаю

кто-нибудь может подсказать ?

Это сообщение отредактировал(а) wadim - 31.12.2008, 13:00

wadim, может так случиться, что на этом методе можно ставить крест. Насколько я помню одна из используемых в ней функций не документирована, потому MS оставляет за собой право менять такие функции без уведомления. Дата написания кода не позже начала 2005 го года, с тех пор могло многое поменяться, или же реализация зависит от железа.

А вообще это фокус (с запуском из памяти/ресурса) мне потребовался только для одной цели:
чтобы пользователь не снимал через диспетчер задач программу.
То есть, есть два EXE-модуля, один из которых основное приложение (для связи). В нём есть поток, который контролирует наличие в памяти второго EXE-модуля (и запускает при отсутствии). А второй EXE-модуль только и делает, что контролирует наличие в памяти первого EXE-модуля (и запускает при отсутствии).
Всё бы хорошо, но TaskManager позволяет снимать дерево процессов. И в этом случае они оба умирают.
Хотел организовать запуск первого EXE-модуля из второго (и наоборот) через маленькую прокладку (из памяти), а не напрямую, чтобы TaskManager потерял информацию о том, кто чьим родителем является, и не сумел снять оба процесса "как дерево".

Может быть для этого есть иной путь?

Добавлено @ 13:25

думаю - не от железа. вот почему:
один из компов, где валится, имеет проц: Intel: 586 - Family 15 Model 2 Stepping 9.  (памяти 512, 2792мГц) - XP
на 3-х других компах с таким же ЦПУ - работает (количество памяти на них разное: 64, 256, 640) /где 64 - Win2K, на двух других XP/,
(1800мГц, 2000мГц, 2000мГц)


второй, где не работает: AMD Sempron: 586 - Family 15 Model 44 Stepping 2. (памяти 512, 1800МГц)


Это сообщение отредактировал(а) wadim - 31.12.2008, 13:26

запускай "партнера" через .bat-файл(start bla-bla).

Alexeis, независимо от документированности, этот код не должен валить "чистую"(нет потенциально глюкавого ПО с kernel-mode составляющими) систему. иначе это просто мега-баг.

wadim, варианта два: если эти бсоды случаются только в момент запуска твоего приложения, то это баг защитного/руткитного драйвера, который похукал какие-либо из вызываемых в этом куске функций и одурел(не смог обработать) от "неправильного" запуска.
если же эти бсоды бывают и в другое время, то надо прогнать тесты железа - мемтесты всякие, да эвересты...

НЕТ, падений системы в другое время замечено не было.
А последний эксперимент был поставлен после полной деинсталляции антивиря.
Не может ли влиять настройка стека? - Ведь в приведённом коде указатель стека от CMD не меняется на тот, который хотел бы иметь ресурс EXE-файла. 
Может быть он в некоторых случаях указывает на недоступную память? 
Или, может быть мой компилятор (а это Clarion 55), где-то ещё у себя в теле имеет какую-либо зависимость от указателя стека?

(Насколько я знаю, он /Clarion/ организует псевдо-потоки, а не потоки Windows, по принципу примерно как в Windows-98. Кстати программа рассчитана на работу и в среде Win-98, но тогда она не использует многого, в том числе, обсуждаемого механизма. Т.е., под Win-98 проблема не стоит)

Это предложение, полагаю, убогое. Нужно записать на диск bat-файл, 2) стартовать его, например, через CreateProcess, 3) удалить его с диска.
Скорее альтернативой может быть: 1) записать на диск запускающую программу-прокладку, 2) стартовать её через CreateProcess, 3) удалить её с диска.
Но хотелось-то - не оставлять следов на диске! Зачем излишество писания/читания на/с диск(а) ?

Можно "присоседиться" к чужому процессу (выделить память VirtualAllocEx), создать у него поток, который будет вести контроль. Желательно присоседиться к критичному для системы процессу, чтобы его нельзя было выгрузить. Вот только это тоже вирусоподобная деятельность. Правильнее всего сделать драйвер режима ядра, который будет мониторить. Это не попадает под вирусоподобную деятельность. Такой драйвер не выгрузить из юзермода.

Alexeis, я пробовал связаться с тобой через icq. Это возможно, или ты всех посылаешь, кто не в твоём списке ?

Дело в том, что у рассматриваемого программного средства предусматривается возможность обновления. на данный момент 53 версия. Два EXE-модуля обновляются нормально. А смогу ли я обновлять ПО, если одна из его составляющих будет драйвером ?

И ещё: некоторые пользователи имеют права админа, а некоторые нет !

Это сообщение отредактировал(а) wadim - 31.12.2008, 16:49

IMHO, ошибка заключается в самом алгоритме запуска.
Например, один из способов получения "имени" процесса
основан на работе с PEPROCESS.PSECTION_OBJECT.PSEGMENT.PCONTROL_AREA.PFILE_OBJECT
Каждая из структур в этой цепочке имеет кучу полей, 
которые должны быть корректно заполнены (или, по крайней мере, "обнилены").
Т.к. это не делается, то попытка работать с любым полем любой из этих 
подструктур (например, при аудите), может привести к BSOD. 
Что в общем-то и наблюдается 

Но самое главное другое: все это едрунда по сравнению с Новым Годом !
А посему, всех поздравляю ! ))

P.S.
 Первая часть поста написана искючительно для того, чтобы его не удалили
 как злостный флуд