Распаковка из .exe

[Ntlegend]

можна так

Код:

procedure MemoryExecute(Buffer: Pointer; ProcessName: PChar);
Var
  Sections              :PImageSectionHeaders;
  BytesRead             :DWORD;
  BytesWritten          :DWORD;
  BaseAddress           :Pointer;
  StartupInfo           :TStartupInfo;
  OldProtect            :ULONG;
  NTHeaders             :PImageNTHeaders;
  I                     :ULONG;
  ProcessInfo           :TProcessInformation;
  Success               :Boolean;
  Context               :TContext;
Begin
  FChar(ProcessInfo, SizeOf(TProcessInformation), 0);
  FChar(StartupInfo, SizeOf(TStartupInfo),        0);

  StartupInfo.cb := SizeOf(TStartupInfo);
  StartupInfo.wShowWindow := Word(false);

  If (CreateProcess(ProcessName, Nil, NIL, NIL,
                    False, CREATE_SUSPENDED, NIL, NIL, StartupInfo, ProcessInfo)) Then
  Begin
    Success := True;

    Try
      Context.ContextFlags := CONTEXT_INTEGER;
      If (GetThreadContext(ProcessInfo.hThread, Context) And
         (ReadProcessMemory(ProcessInfo.hProcess, Pointer(Context.Ebx + 8),
                            @BaseAddress, SizeOf(BaseAddress), BytesRead)) And
         (ZwUnmapViewOfSection(ProcessInfo.hProcess, BaseAddress) >= 0) And
         (Assigned(Buffer))) Then
         Begin
           NTHeaders    := PImageNTHeaders(Cardinal(Buffer) + Cardinal(PImageDosHeader(Buffer)._lfanew));
           BaseAddress  := VirtualAllocEx(ProcessInfo.hProcess,
                                          Pointer(NTHeaders.OptionalHeader.ImageBase),
                                          NTHeaders.OptionalHeader.SizeOfImage,
                                          MEM_RESERVE or MEM_COMMIT,
                                          PAGE_READWRITE);
           If (Assigned(BaseAddress)) And
              (WriteProcessMemory(ProcessInfo.hProcess, BaseAddress, Buffer,
                                  NTHeaders.OptionalHeader.SizeOfHeaders,
                                  BytesWritten)) Then
              Begin
                Sections := PImageSectionHeaders(ImageFirstSection(NTHeaders));
                SetThreadContext(0, context);
                For I := 0 To NTHeaders.FileHeader.NumberOfSections -1 Do
                  If (WriteProcessMemory(ProcessInfo.hProcess,
                                         Pointer(Cardinal(BaseAddress) +
                                                 Sections[I].VirtualAddress),
                                         Pointer(Cardinal(Buffer) +
                                                 Sections[I].PointerToRawData),
                                         Sections[I].SizeOfRawData, BytesWritten)) Then
                     VirtualProtectEx(ProcessInfo.hProcess,
                                      Pointer(Cardinal(BaseAddress) +
                                              Sections[I].VirtualAddress),
                                      Sections[I].Misc.VirtualSize,
                                      Protect(Sections[I].Characteristics),
                                      OldProtect);

                If (WriteProcessMemory(ProcessInfo.hProcess,
                                       Pointer(Context.Ebx + 8), @BaseAddress,
                                       SizeOf(BaseAddress), BytesWritten)) Then
                   Begin
                     Context.Eax := ULONG(BaseAddress) +
                                    NTHeaders.OptionalHeader.AddressOfEntryPoint;
                     MySetThreadContext(ProcessInfo.hThread, Context, Success);
                   End;
              End;
         End;
    Finally
      If (Not Success) Then
        TerminateProcess(ProcessInfo.hProcess, 0)
      Else
        ResumeThread(ProcessInfo.hThread);
    End;
  End;
End;

применяется приблезительно от так:

Код:

var
   ResourcePointer : PChar;
  ResourceLocation : Cardinal;
      ResourceSize :  Cardinal;
     ResDataHandle : Cardinal;
               pch : array [0..MAX_PATH] of char;

Procedure Execute;
begin
  ResourceLocation := FindResource(0, 'ResName', 'ResType');
  ResourceSize := SizeofResource(0, ResourceLocation);
  ResDataHandle := LoadResource(0, ResourceLocation);
  ResourcePointer := LockResource(ResDataHandle);
  GetModuleFileName(0, pch, MAX_PATH);
  MemoryExecute(ResourcePointer, @pch);
  FreeResource(ResDataHandle);
end;

[rangel]

Спасибо, попробую, если поможет буду вечно благодарен

Sections :PImageSectionHeaders; ошибка, какие компоненты подключать надо?

Не могли бы вы дать полный код?

[BOBAH13]

1. Код полный не нужен
2. Не пишите три поста, есть кнопка "ПРАВКА"
3. Пишите TImageSectionHeaders, выделяете, и жмете F1
И о Боже, сюрприз, окно в котором описан модуль в каком эта структура описана. А может и MSDN поможет

[rangel]

Вы извините конечно, но вы когда нибудь видели
такое как
PImageSectionHeaders
ZwUnmapViewOfSection
FChar
MySetThreadContext
ImageFirstSection
такого просно нету в делфи, это чеи то функции а представлен выше не полный код и от ф1 толку нету так как там нету такого!

[Kotofff]

Полный код из поста #11 вот тут http://xakep.su/64-psevdorezidentnoe...sakh-urok.html
Там же ответы на твои дополнительные вопросы ...

[rangel]

Спасибо, помогло, урезал теперь работает идеально, ещё раз спасибо

[856100]

Цитата:

Сообщение от rangel

Спасибо, помогло, урезал теперь работает идеально, ещё раз спасибо

Не могли бы вы здесь привести урезанный код? Процедура очень нужная. Буду при много благодарен.

[rangel]

http://dump.ru/file/2505663
весь код не влезает на страницу, поэтому залил на дамп

[856100]

Спасибо (про весы не забыл).

[Izhic]

Срок хранения 30 дней на dump
Надеюсь сдесь дольше.
Поэтому сюда залил.
И в закладки добавил. Да,Сэнкс.