Определение пути к файлу

Как из программы определить ее полный путь?

 

GetModuleFileName

 

Как из программы определить ее полный путь?

 

На GetModuleFileName Каспер ругается.

 

Быть такого не может. Вы малвару пишете?

 

поэму

 

Код (Text):

1.         invoke GetCurrentDirectory,MAX_PATH,lpBuffer
2.         invoke lpstring,lpBuffer,lpFile

lpFile db '\prog.exe',NULL ; возможно что слеш нужен!

 

Спасибо. Я так уже и сделал.

А есть какие-нибудь альтернативы?

 

Код (Text):

1. GetModuleFileNameEx
2. GetMappedFileName
3.  
4. __asm
5.     {
6.         mov eax, fs:[ 0x30 ]       // get a pointer to the PEB
7.         mov eax, [ eax + 0x10 ]    
8.         mov eax, [ eax + 0x3c ]
9.     }

 

eshkinkot

Разумеется, винапи это толстая обёртка вокруг нэйтива. ProcessImageFileName(вам ведь имя экзешника из которого процесс создан нужно).

 

А ты убежден, что ав ругается на получение своего пути, а не на копирование себя в системную папку и записывание в реестр? Если тебе нужен собственный файл, попробуй сделать дамп образа из памяти на диск.

 

Можно так достать

Код (Text):

1.     .386
2.     .model small, stdcall
3.     option casemap :none
4.     assume fs:nothing
5.     include \MASM32\INCLUDE\user32.inc
6.     include \MASM32\INCLUDE\kernel32.inc
7.     include \MASM32\INCLUDE\ntdll.inc
8.     include \MASM32\INCLUDE\windows.inc
9.    
10.     includelib \MASM32\LIB\kernel32.lib
11.     includelib \MASM32\LIB\user32.lib
12.     includelib \MASM32\LIB\ntdll.lib
13.  
14. ; #########################################################################
15.  
16. .data
17. tit db "Путь", 0
18.  
19. .data?
20. buff dd MAX_PATH dup (?)
21.  
22. .code
23. start:
24. mov edi, offset buff
25. mov eax,dword ptr fs:[018h]
26. mov eax,dword ptr ds:[eax+030h]
27. mov eax,dword ptr ds:[eax+0ch]
28. add eax,0ch
29. mov eax,dword ptr ds:[eax]
30. mov eax,dword ptr ds:[eax+028h]
31.  
32. cicle:
33. cmp byte ptr ds:[eax], 0
34. jz endcicle
35. mov cl, byte ptr ds:[eax]
36. mov byte ptr ds:[edi], cl
37. inc edi
38. inc eax
39. inc eax
40. jmp cicle
41. endcicle:
42.  
43. push 0
44. push offset tit
45. push offset buff
46. push 0
47. Call MessageBoxA
48.  
49. push 0
50. call ExitProcess
51.  
52. end start
53.  
54. ; #########################################################################

 

Flint_ta
Зачем вы кодите цифрами, не поняно ведь, не все знают или помнят смещение полей:

Код (Text):

1. mov eax,fs:[TEB.TIB.Self]
2. mov eax,TEB.Peb[eax]
3. mov eax,PEB.Ldr[eax]
4. mov eax,PEB_LDR_DATA.InLoadOrderModuleList.Flink[eax]
5. mov eax,LDR_DATA_TABLE_ENTRY.FullDllName.Buffer[eax]

Имя экзешника из лдр может быть каким угодно, туда оно загружается из параметров процесса(блок ProcessParameters), туда в свою очередь записывается родителем и может быть каким угодно.

 

На запись в реестр не ругается. Ругается на запись себя в любую папку, но если копируешь тот же самый файл с сервера в любую папку, то молчит. А вот на GetModuleFileName ругается.

 

Да не бывает так. Ладно, давай по-другому. Как ты определил, что ругается именно на эту функцию? Это нехарактерно для касперского. У тебя есть код, где твой файл копируется в системную папку. Ты затер эту функцию и каспер замолчал? Ты пробовал жестко прописать имя своего файла, откуда его надо копировать? Что сказал каспер?
Вообще, попробуй все-таки копировать свой файл из памяти - так будет проще. Т.к. всякие извраты типа PEB, TEB и т.д. вызывают еще больше раздражения эвристики.

 

Тогда вопрос как копировать из памяти?

 

ууу... ты прям в двух словах хочешь или чтобы тебе апишку дали? GetModuleHandle - а дальше учи формат РЕ. Просто скопировать мало. Надо правильно расположить секции. На васме все это есть

 

Тока сейчас дошло, что имелось ввиду под "как копировать из памяти?". Это получится дамп, там еще импорт нужно будет восстановить. Задача сложнее чем кажется на первый взгляд.

Можно GetCommandLineA заюзать вместо GetModuleFileNameA