從記憶體緩衝區建立程序
問題:
可以對下列內容呼叫CreateProcess儲存在記憶體緩衝區中的EXE,而不先將其寫入檔案?
背景:
在修復遊戲崩潰時嘗試繞過 DRM 延遲,一種方法試圖從外部 EXE 解密並啟動真正的 EXE。
答案:
CreateProcess 確實可以在包含 EXE 的記憶體緩衝區上調用,從而允許它的執行無需事先寫入檔案。這些步驟包括:
- 使用帶有 CREATE_SUSPENDED 標誌的 CreateProcess 來掛起進程。
- 使用 GetThreadContext 擷取執行緒上下文,PEB 的 ImageBaseAddress 儲存在 [EBX 8]。
- 比較掛起進程和記憶體中 EXE 的基底位址和影像大小。
- 如果條件允許,使用 WriteProcessMemory 將記憶體中 EXE 寫入掛起進程的記憶體。
- 取消映射原始影像,在掛起的進程中分配內存,如果條件不允許,則寫入內存中的 EXE。
- 修補線程上下文中的基址和入口點。
- 恢復使用 ResumeThread 掛起程序。
以上是CreateProcess 可以直接從記憶體執行 EXE 而不將其儲存到檔案嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
