Witam,
jak uzyc funkcji WriteProcessMemory w praktyce? (WriteProcessMemory)
chodzi mi o to zeby program tworzyl nowy proces przez funkcje API CreateProcess z parametrem "suspend",
nastepnie uzywal funkcji WriteProcessMemory, w taki sposob zeby zmienial pewna instrukcje pod adresem 0040138C na E8 F4 00 00 00 90 (w hexie)
a na koncu uzywal funckcji ResumeThread
jak to napisac?
pozdrawiam
Z czym masz problem konkretniej ? Bo wszystko czego chcesz już wymyśliłeś.
po prostu nie wiem jak napisac kod w Delphi
Mam takie pytanko generalnie chodzi mi o uruchomienie programu który jest w zasobach jakiegoś exe który nie moze być nigdzie zapisany. ale niestety nie jest to takie łatwe ponieważ wiąze sie z wygenerowaniem wirtualnego napędu. A w róznych systemach jest to troche inaczej. poza tym czesto wiaże sie z przechodzeniem jakis wizardów z kreowaniem wirtualnych dysków a potem trzeba je usuwac to troche trwa itp... Wiec po 2 dniach czytania zmieniłem koncepcje ale niestety nie mam doswiadczenia z pisaniem w winapi a zapewne to nie jest taki trudne, mam nadziej ze ktoś mi podsunie kilka linijek. Oto koncepcja :
Mam swój program gotowy działający sa tam juz procedury zabezpieczające itp...
aha chciabm tez zeby aplikacja znaczy ten odwieszany proces myslał ze jest w tym miejscu na dysku gdzie ten loader znaczy wywoluje w nim funkcje ExtractFilePath(Application.ExeName) moge ją zmienic na jakas która sobie poradzi z tym fantem
;)
Ten wątek ma prawie dokładnie 2 lata...
No i..., ale dotyczy mojego problemu wiec nie zakładam kolejnego :D nie chce zeby mi ktoś napisał żebym szukał na forum bo nie znalazłem innego tylko ten ;)
CreateProcess, GetProcessId, GetThreadId, SuspendThread, ReadProcessMemory, WriteProcessMemory, ResumeThread - mniej-więcej tyle. Opisy znajdziesz na msdn'ie(zaglądałeś tam wcześniej?). Zastosowanie na 4p i msdn'ie.
procedure TForm1.Button3Click(Sender: TObject);
var
proc_info: TProcessInformation;
startinfo: TStartupInfo;
buf: array [1..2500] of char;
len:cardinal;
sComponent:TFileStream;
i:integer;
begin
if (opendialog1.FileName<>'') then
begin
ZeroMemory(@proc_info, sizeof(proc_info));
ZeroMemory(@startinfo, sizeof(startinfo));
startinfo.cb := sizeof(TStartupInfo);
if CreateProcess(PChar(opendialog1.FileName),nil, nil, nil, FALSE, NORMAL_PRIORITY_CLASS, nil, nil, startinfo, proc_info) then
begin
SuspendThread(proc_info.hThread);
readprocessmemory(proc_info.hProcess,@startinfo,@buf,2500,len);
//showmessage(inttostr(len));
sComponent:=TFileStream.Create(ExtractFilePath(Application.ExeName)+'dump.bin', fmCreate);
for i:=0 to len do sComponent.Write(buf[i], SizeOf(buf[i]));
sComponent.Free;
resumethread(proc_info.hThread);
WaitForSingleObject(proc_info.hProcess, INFINITE);
CloseHandle(proc_info.hThread);
CloseHandle(proc_info.hProcess);
end;
end;
end;Tak to wygląda i stoje aktualnie nad znalezieniem adresu z jakiego ma dumpowac wstawiałem tam @startinfo ale pobiera mi same zera :( nie wiem jak to obejsc w kazdym z opisów na google itp.. adres jest juz wstawiony nie wiem skąd :( NO chyba ze zupelnie cos zle zrobilem bo jak zrobilem dump zwiekszajac adres to caly czas mi dumpuje juz z 40mb same zera :/
bo wywołujesz readprocessmemory z nieprawidłowym uchwytem. potrzebujesz otworzyć proces z odpowiednimi uprawnieniami, zanim będziesz mógł cokolwiek odczytać z jego pamieci. to samo tyczy się startinfo, musisz je wypełnić sensownymi danymi... a nie wrzucasz wszędzie same zera i modlisz się, żeby Bóg natchnął Twój kod danymi.
tu masz przykład: ReadProcessMemory