EXE Datei vom Ram ausführen!

Hier könnt Ihr gute, von Euch geschriebene Codes posten. Sie müssen auf jeden Fall funktionieren und sollten möglichst effizient, elegant und beispielhaft oder einfach nur cool sein.
Benutzeravatar
Thorium
Beiträge: 1722
Registriert: 12.06.2005 11:15
Wohnort: Germany
Kontaktdaten:

Beitrag von Thorium »

Andesdaf hat geschrieben:holl, da hat thorium aber eine Mumie ausgepackt... :lol:
Mumien sind cool. :mrgreen:

Ne, bin drauf gekommen weil das in nem anderen Thread gefragt wurde.

Ich glaube ich hab auch die Quelle der BSOD's in dem Code hier gefunden. Und zwar ZwUnmapViewOfSection ist einer Funktion, die für den Kernelmode vorgesehen ist. Sie ist auch nicht undokumentiert. Man findet sie in der Treiberdokumentation in der MSDN und dort auch den Hinweis darauf das man NtUnmapViewOfSection nutzen soll, wenn man vom Usermode aus arbeitet.

Was anderes was wirklich merkwürdig ist, das einige exe'en ohne Initialisierung der Import Table laufen. Finde ich extrem merkwürdig. Weis net ob das heute noch was wird. Ich muss da mehr nachforschen.
Zu mir kommen behinderte Delphine um mit mir zu schwimmen.

Wir fordern mehr Aufmerksamkeit für umfallende Reissäcke! Bild
Benutzeravatar
Frogger
Beiträge: 425
Registriert: 14.03.2006 19:27
Kontaktdaten:

Beitrag von Frogger »

Hi Thorium,
hast du es schon hinbekommen mit der Import Table?

Habs leider nicht geschafft das vernünftig zum Laufen zu bekommen

gruss
[PB4.20]
Benutzeravatar
Thorium
Beiträge: 1722
Registriert: 12.06.2005 11:15
Wohnort: Germany
Kontaktdaten:

Beitrag von Thorium »

Frogger hat geschrieben:Hi Thorium,
hast du es schon hinbekommen mit der Import Table?

Habs leider nicht geschafft das vernünftig zum Laufen zu bekommen
Noch nicht.
Das ganze ist doch etwas problematischer. Da der hier gepostete Code quasie ein Hack ist. Was warscheinlich auch das ganze Problem daran ist. Ich habe festgestellt, das die Import Table nicht initialisiert werden muss vom obigen Code, da sie sowieso noch nicht vom PE-Loader initialisiert wurde. Also es ist so das der Prozess von Windows garnicht fertig initialisiert ist. Der PE-Loader mappt nur die .exe in einen eigenen Prozessspeicher und das wars. Der Rest wird erledigt, wenn der Prozess gestartet wird. Der Code hier nutzt das aus, deshalb manipuliert der auch CPU-Register am Ende. Um Einschluss auf den Loader-Code zu nehmen. Was ich einfach mal als Hack und potentiellen Crashgrund bezeichne.
Zu mir kommen behinderte Delphine um mit mir zu schwimmen.

Wir fordern mehr Aufmerksamkeit für umfallende Reissäcke! Bild
Benutzeravatar
dysti
Beiträge: 656
Registriert: 10.02.2006 18:34
Wohnort: Schlicktown

Beitrag von dysti »

@Thorium schrieb:
Noch nicht.
....schade. Aber wir warten geduldig.

Mfg Dysti
PB5 / Spiderbasic / WB14 / Win7 / Win8.1 / Win10 / Debian 9
Benutzeravatar
Fluid Byte
Beiträge: 3110
Registriert: 27.09.2006 22:06
Wohnort: Berlin, Mitte

Beitrag von Fluid Byte »

Muss es denn unbedingt eine .EXE sein? Wenn DLL ne' Option wäre gibt es im Englischen Forum einen funktionierenden Code für XP und Vista:

http://www.purebasic.fr/english/viewtopic.php?t=37607
Windows 10 Pro, 64-Bit / Outtakes | Derek
Benutzeravatar
Thorium
Beiträge: 1722
Registriert: 12.06.2005 11:15
Wohnort: Germany
Kontaktdaten:

Beitrag von Thorium »

Fluid Byte hat geschrieben:Muss es denn unbedingt eine .EXE sein? Wenn DLL ne' Option wäre gibt es im Englischen Forum einen funktionierenden Code für XP und Vista:

http://www.purebasic.fr/english/viewtopic.php?t=37607
Das ist ne DLL-Injection. Da wird die DLL auch von der Platte geladen. Was hier gesucht ist, ist ein Code der eine Exe ausführt ohne sie auf die Platte zu schreiben. Für DLL's gibts dafür aber auch stabile Sources, zumindest in C++.
Zu mir kommen behinderte Delphine um mit mir zu schwimmen.

Wir fordern mehr Aufmerksamkeit für umfallende Reissäcke! Bild
Benutzeravatar
Fluid Byte
Beiträge: 3110
Registriert: 27.09.2006 22:06
Wohnort: Berlin, Mitte

Beitrag von Fluid Byte »

Stimmt, hab ich verplant. Aber wie sagst, dafür gibt es Codes die auch XP / Vista kompatibel sind sofern die Auslagerung in eine DLL möglich ist.
Wobei mir außer Cheats bzw. hooks für Sachen wie TeamSpeak Overlay nix einfällt wofür das nützlich wäre.
Windows 10 Pro, 64-Bit / Outtakes | Derek
Antworten