|
ETUN4
|
Дата: Воскресенье, 22.02.2015, 00:24 | Сообщение # 1
|
Был не раз
Зарегистрирован: 13.02.2015
Группа: Пользователи
Сообщений: 16
Статус: Offline
|
Всем привет!
Есть программа которая внедряется в процесс, то есть инжектит сама себя, после чего все дела делает находясь в процессе, а сам екзешник завершает работу после инжекта.
Вопрос: можно ли каким-то образом восстановить экзешник с оперативной памяти, в том случае если юзер удалил файл? |
| |
|
|
|
Волк-1024
|
Дата: Воскресенье, 22.02.2015, 01:25 | Сообщение # 2
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 463
Статус: Offline
|
Можно. Но это очень много кода придётся городить. Нужно будет выравнивать секции, исправлять таблицу экспорта\импорта, очищать и освобождать всю память и т.д и т.п. Проще в памяти иметь сам сжатый .exe файл, и в случае чего - просто дропнуть его на диск.
Pascal, C\C++, Assembler, Python
|
| |
|
|
|
ETUN4
|
Дата: Воскресенье, 22.02.2015, 18:05 | Сообщение # 3
|
|
Был не раз
Зарегистрирован: 13.02.2015
Группа: Пользователи
Сообщений: 16
Статус: Offline
|
Цитата Волк-1024 ( )
Можно. Но это очень много кода придётся городить. Нужно будет выравнивать секции, исправлять таблицу экспорта\импорта, очищать и освобождать всю память и т.д и т.п. Проще в памяти иметь сам сжатый .exe файл, и в случае чего - просто дропнуть его на диск.
Когда файл себя загрузит, можно ли как-то ему передать переменную, которая содержит путь к файлу, который сам себя заинжектил в процесс?
Потом можно сразу же считать весь файл в переменную, и когда нужно записывать содержимое переменной в файл.
|
| |
|
|
