Среда, 26.07.2017, 01:45 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Обратное действие инжекта
Обратное действие инжекта
ETUN4Дата: Воскресенье, 22.02.2015, 00:24 | Сообщение # 1
Был не раз
Зарегистрирован: 13.02.2015
Группа: Пользователи
Сообщений: 16
Статус: Offline
Всем привет!
Есть программа которая внедряется в процесс, то есть инжектит сама себя, после чего все дела делает находясь в процессе, а сам екзешник завершает работу после инжекта.
Вопрос: можно ли каким-то образом восстановить экзешник с оперативной памяти, в том случае если юзер удалил файл?
 
Волк-1024Дата: Воскресенье, 22.02.2015, 01:25 | Сообщение # 2
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Можно. Но это очень много кода придётся городить. Нужно будет выравнивать секции, исправлять таблицу экспорта\импорта, очищать и освобождать всю память и т.д и т.п. Проще в памяти иметь сам сжатый .exe файл, и в случае чего - просто дропнуть его на диск.

Pascal, C\C++, Assembler, Python
 
ETUN4Дата: Воскресенье, 22.02.2015, 18:05 | Сообщение # 3
Был не раз
Зарегистрирован: 13.02.2015
Группа: Пользователи
Сообщений: 16
Статус: Offline
Цитата Волк-1024 ()
Можно. Но это очень много кода придётся городить. Нужно будет выравнивать секции, исправлять таблицу экспорта\импорта, очищать и освобождать всю память и т.д и т.п. Проще в памяти иметь сам сжатый .exe файл, и в случае чего - просто дропнуть его на диск.

Когда файл себя загрузит, можно ли как-то ему передать переменную, которая содержит путь к файлу, который сам себя заинжектил в процесс?
Потом можно сразу же считать весь файл в переменную, и когда нужно записывать содержимое переменной в файл.
 
delfcode » Delphi » Вирусология Delphi » Обратное действие инжекта
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz