Запуск приложения из памяти

@zapolarnik16 · Регистрация: 24.06.2017

Author24 — интернет-сервис помощи студентам

все работает под x32 нормально но как я начинаю добавлять arr( Vector.data() ) как x64 приложение то не чего не происходит
если под x64 то nameProc равено пути приложению x64 битного

C++

bool cMemory::mapProcces(void* arr)
{
    string nameProc = "путь до приложения";
    
    IMAGE_SECTION_HEADER* SectionHeader;
 
    PROCESS_INFORMATION Pi;
    STARTUPINFOA Si;
 
    CONTEXT* Ctx;
 
    DWORD* ImageBase;
    void* pImageBase;
 
    IMAGE_DOS_HEADER* DOSHeader = PIMAGE_DOS_HEADER(arr);
    IMAGE_NT_HEADERS* NtHeader = PIMAGE_NT_HEADERS(DWORD(arr) + DOSHeader->e_lfanew);
 
 
    if (NtHeader->Signature == IMAGE_NT_SIGNATURE)
    {
        memset(&Si, 0, sizeof(Si));
        memset(&Pi, 0, sizeof(Pi));
        
        Si.cb = sizeof(STARTUPINFO);
        if (CreateProcessA(NULL, (LPSTR)nameProc.c_str(), NULL, NULL, FALSE,
            CREATE_SUSPENDED | CREATE_NO_WINDOW, NULL, NULL, &Si, &Pi))
        {
            Ctx = LPCONTEXT(virtualAlloc(NULL, sizeof(Ctx), MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE));
            Ctx->ContextFlags = CONTEXT_FULL;
 
            if (getThreadContext(Pi.hThread, LPCONTEXT(Ctx)))
            {
#ifdef _WIN64
                readMemory(Pi.hProcess, PVOID(Ctx->Rbx + 8), LPVOID(&ImageBase), sizeof(PVOID), 0);
#else
                readMemory(Pi.hProcess, PVOID(Ctx->Ebx + 8), LPVOID(&ImageBase), sizeof(PVOID), 0);
#endif
                pImageBase = virtualAllocEx(Pi.hProcess, LPVOID(NtHeader->OptionalHeader.ImageBase), NtHeader->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
                
                //cout << GetLastError() << endl;
                writeMemory(Pi.hProcess, pImageBase, arr, NtHeader->OptionalHeader.SizeOfHeaders, NULL);
 
                for (int i = 0; i < NtHeader->FileHeader.NumberOfSections; i++)
                {
                    SectionHeader = PIMAGE_SECTION_HEADER((LPBYTE)arr + DOSHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS) + (i * sizeof(IMAGE_SECTION_HEADER)));
                    writeMemory(Pi.hProcess, (PVOID)((LPBYTE)pImageBase + SectionHeader->VirtualAddress), (PVOID)((LPBYTE)arr + SectionHeader->PointerToRawData), SectionHeader->SizeOfRawData, 0);
                }
#ifdef _WIN64
                Ctx->Rax = (DWORD)((LPBYTE)pImageBase + NtHeader->OptionalHeader.AddressOfEntryPoint);
#else
                Ctx->Eax = (DWORD)((LPBYTE)pImageBase + NtHeader->OptionalHeader.AddressOfEntryPoint);
#endif
                //writeMemory(Pi.hProcess, LPVOID(Ctx->Ebx + 8), LPVOID(&NtHeader->OptionalHeader.ImageBase), 4, 0);
 
#ifdef _WIN64
                writeMemory(Pi.hProcess, (PVOID)(Ctx->Rbx + 8), &NtHeader->OptionalHeader.ImageBase, sizeof(PVOID), NULL);
#else
                writeMemory(Pi.hProcess, (PVOID)(Ctx->Ebx + 8), &NtHeader->OptionalHeader.ImageBase, sizeof(PVOID), NULL);
#endif
 
                setThreadContext(Pi.hThread, LPCONTEXT(Ctx));
 
                resumeThread(Pi.hThread);
 
                return true;
            }
            else
                cout << "error getThreadContext " << GetLastError() << endl;
        }
        else
            cout << "error create procces " << GetLastError() << endl;
    }
    else
        cout << "error signature " << GetLastError() << endl;
    return false;
 
}

@oleg-m1973 · 01.08.2019, 08:58

Сообщение от zapolarnik16

все работает под x32 нормально но как я начинаю добавлять arr( Vector.data() ) как x64 приложение то не чего не происходит
если под x64 то nameProc равено пути приложению x64 битного

Сообщение от zapolarnik16

#ifdef _WIN64
* * * * * * * * Ctx->Rax = (DWORD)((LPBYTE)pImageBase + NtHeader->OptionalHeader.AddressOfEntryPoint);
#else

Здесь, наверное, нужно DWORD64

@_lunar_ · 01.08.2019, 09:59

там везде нужен unsigned __int64

IMAGE_NT_HEADERS есть 32 и 64, соответственно приводить PVOID со смапленным адресом нужно к (DWORD64)arr

PVOID(Ctx->Ebx + 8) - почему здесь 8?

неправильно
SectionHeader = PIMAGE_SECTION_HEADER((LPBYTE)arr + DOSHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS) + (i * sizeof(IMAGE_SECTION_HEADER)));

SectionHeader = (PIMAGE_SECTION_HEADER)((DWORD64)arr + DOSHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS));

@zapolarnik16 · 06.08.2019, 23:32 **[ТС]**

извините то что не смог тогда ответить да это помогло убрал 8 и заменил SectionHeader и DWORD -> DWORD64 но консолька не появляется получается я маплю консольное приложение

@oleg-m1973 6579 / 4564 / 1843 Регистрация: 07.05.2019 Сообщений: 13,726
	01.08.2019, 08:58	2
	Сообщение от zapolarnik16 все работает под x32 нормально но как я начинаю добавлять arr( Vector.data() ) как x64 приложение то не чего не происходит если под x64 то nameProc равено пути приложению x64 битного Сообщение от zapolarnik16 #ifdef _WIN64 * * * * * * * * Ctx->Rax = (DWORD)((LPBYTE)pImageBase + NtHeader->OptionalHeader.AddressOfEntryPoint); #else Здесь, наверное, нужно DWORD64 0

@_lunar_ 3574 / 2828 / 451 Регистрация: 03.05.2011 Сообщений: 5,193 Записей в блоге: 22
	01.08.2019, 09:59	3
	там везде нужен unsigned __int64 IMAGE_NT_HEADERS есть 32 и 64, соответственно приводить PVOID со смапленным адресом нужно к (DWORD64)arr PVOID(Ctx->Ebx + 8) - почему здесь 8? неправильно SectionHeader = PIMAGE_SECTION_HEADER((LPBYTE)arr + DOSHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS) + (i * sizeof(IMAGE_SECTION_HEADER))); SectionHeader = (PIMAGE_SECTION_HEADER)((DWORD64)arr + DOSHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS)); 0

@zapolarnik16 5 / 3 / 2 Регистрация: 24.06.2017 Сообщений: 219
	06.08.2019, 23:32 [ТС]	4
	извините то что не смог тогда ответить да это помогло убрал 8 и заменил SectionHeader и DWORD -> DWORD64 но консолька не появляется получается я маплю консольное приложение 0