Может ли процесс "размапить" сам себя?

Допустим
1.Есть длл с каким то кодом ,который "размапливает" область памяти.
2.Процесс грузит эту длл,и передает в ф-цию с этим кодом свою базу и размер занимаемый образом.
3.Этот код стирает образ процесса из его АП,и нормально дорабатывает до конца.И при этом у системы невозникакет никаких исключений.

Собственно вопрос - В винде пункт 3 возможен?Или такое можно сделать только со своим дочерним процессом?

 

возможен... если не будет потоков, которые будут пытаться исполнить размаппенный код...

 

Rel
получается достаточно лишь заморозить потоки? %)

 

Clyde
убить тогда уж, да хоть на цикл бесконечный отправить, главное чтобы не обратились куда не надо.

 

В ф-ции дллки использую для анмапа ZwUnmapViewOfSection.Но как только она вызывается все валится.Что я не учел?
ЗЫ:стек ф-ции в длл,и вызывающей её из основного имиджа не шарятся между собой?

 

_nic
дык, ты хоть причину падения посмотри.

 

Всмысле причину???Я смотрел в ольке.Исключение генерится где то внутри ntdll.dll.Точнее в обертке ZwUnmapViewOfSection,если мои скромные познания ассемблера меня не подвели.А от чего оно так ,или нельзя так вообще делать.Или я что то не то передал этой ф-ции.Я хз

 

_nic
покажи как вызываешь ZwUnmapViewOfSection верней ты должен был это сделать первым делом.

 

как то вот так

Код (Text):

1. typedef LONG (NTAPI *ZwUnmapViewOfSection)(HANDLE, PVOID);
2. .....................................................
3. HMODULE ntll= LoadLibraryA("ntdll.dll");
4. ZwUnmapViewOfSection _ZwUnmapViewOfSection=(ZwUnmapViewOfSection)GetProcAddress(ntll,"ZwUnmapViewOfSection");
5. _ZwUnmapViewOfSection(GetCurrentProcess(),(void*)(имидж_база_процесса));

 

_nic
надо анализировать. например пробуйте PEB поменять перед вызовом.

 

_nic
Размапить, вроде, можно. Но закрыть файл, чтоб можно было удалить - нет

В смысле? Это же один стек)

 

_nic

ZwUnmapViewOfSection вызывается из тогоже модуля, который анмапится? )

 

Код размапливания в дллки.Или его что надо вызывать отдельным потоком?

 

да ек макарек, ты хоть код приведи где ошибка.

 

_nic
http://wasm.ru/forum/viewtopic.php?pid=323135#p323135 читаем, потом постим.

 

_nic

Если ты размапливаешь сам себя, то на стеке для возврата из ZwUnmapViewOfSection у тебя останется адрес, который станет невалидным после размапливания. Другими словами - если модуль размапливает себя сам, то он должен это делать в памяти, НЕ принадлежащей образу файла (в заранее выделенной для этого памяти).

 

Значит все таки практически не возможно А если размапить дочерний процесс?Как в нем выполнение кода зафризить?Или он всеравно при анмапе крашнется ?

 

_nic
Да что ж вы за бред несёте)
Почему невозможно? Элементарно ведь. Да и к тому же, у вас не тот случай - у вас же длл размапивает ехе, верно?

И опять стопицотый раз повторяю, КОД В СТУДИЮ!

 

Код (Text):

1. typedef LONG (NTAPI *ZwUnmapViewOfSection)(HANDLE, PVOID);
2. typedef DWORD(*_EntryPointW)();
3. _EntryPointW EntryPointW;
4. extern "C" __declspec(dllexport) void SwapImage(char *img,DWORD sz)
5. {
6.     SetLastError(0);
7.     DWORD szimg;
8.     memcpy(&szimg,&sz,sizeof(DWORD));
9.     char *dbgmsg=new char[1024];
10.     char *Image=new char[(DWORD)szimg];
11.     memcpy(Image,img,(DWORD)szimg);
12.     delete []img;
13.     HMODULE ntll= LoadLibraryA("ntdll.dll");
14.     ZwUnmapViewOfSection _ZwUnmapViewOfSection=(ZwUnmapViewOfSection)GetProcAddress(ntll,"ZwUnmapViewOfSection");
15.     DWORD toNT=( (IMAGE_DOS_HEADER*) Image)->e_lfanew;
16.     IMAGE_NT_HEADERS *nt;
17.     Image+=toNT;
18.     nt=(IMAGE_NT_HEADERS *)Image;
19.     Image-=toNT;
20.     _ZwUnmapViewOfSection(GetCurrentProcess(),(void*)(nt->OptionalHeader.ImageBase));
21.     if(GetLastError()!=0)
22.     {
23.         //wsprintfA(dbgmsg,"%d",GetLastError());
24.         //MessageBoxA(0,dbgmsg,"!",MB_OK);
25.     }
26.     DWORD adr=(DWORD)VirtualAlloc((void*)(nt->OptionalHeader.ImageBase),(DWORD)szimg, MEM_COMMIT | MEM_RESERVE | MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE);
27.     if(GetLastError()!=0)
28.     {
29.         //wsprintfA(dbgmsg,"%d",GetLastError());
30.         //MessageBoxA(0,dbgmsg,"!",MB_OK);
31.     }
32.     memcpy((void*)adr,Image,(DWORD)szimg);
33.     //MessageBoxA(0,"OK","",MB_OK);
34.     EntryPointW=( DWORD(*)() )(nt->OptionalHeader.AddressOfEntryPoint);
35.     delete []Image;
36.     EntryPointW();
37. }

 

_nic
еще желательно место где вылетает программа