Discussion :

[Ulmo]

Bonjour,
Dans le cadre de modding d'un jeu, je souhaite :

• charger le programme en memoire sans en lancer l'execution
• faire mes modifications du code en memoire
• lancer le programme

Comme le ferait OllyDebugger par exemple.

J'ai l'impression que le chargement pourrait se faire avec des CreateFileMapping/MapViewOfFile/..., je pourrais ensuite faire un call du point d'entrée du programme pour le lancer.
Est-ce que ces "File Mapping" sont bien ce qu'il me faut ? Voyez vous une solution plus adaptée ?[/list]

[Neitsa]

Bonjour,

J'ai l'impression que le chargement pourrait se faire avec des CreateFileMapping/MapViewOfFile/

Le problème avec le File Mapping est qu'il n'y a pas création du processus (pas d'initialisation du processus et du thread primaire, pas de chargement des DLLs, etc.)

charger le programme en memoire sans en lancer l'execution

Tout simplement un CreateProcess() en passant CREATE_SUSPENDED pour le paramètre dwCreationFlags. La structure PROCESS_INFORMATION renvoi le hProcess qui sert pour la prochaine étape et le hThread du thread primaire qui servira à la fin.

faire mes modifications du code en memoire

WriteProcessMemory() et ReadProcessMemory() en passant le hProcess obtenu précédemment.

lancer le programme

ResumeThread() en passant le hThread obtenu en première étape. Cela aura pour effet de lancer complètement le programme.


Autre solution, plus complexe, serait de coder un petit debugger en débuggant le programme et modifiant ce que l'on souhaite à la volée, puis (dispo sous XP et supérieur seulement) lorsque tout est fini, de se détacher du programme [DebugActiveProcessStop()].

Mais c'est vraiment se compliquer la vie si il n'y a rien à vérifier ni modifier à l'exécution...

[Médinoc]

Et VirtualAllocEx() pour allouer de la mémoire dans le processus en question.
Pour trifouiller une fonction dans un module du programme (notamment une DLL) : EnumProcessModules()/GetModuleInformation() pour trouver son adresse, LoadLibrary()/GetProcAddress() pour trouver où se trouve une procédure dans le module...


Avec ces fonctions, on peut faire beaucoup de choses à un programme, du moment qu'on en est le propriétaire. On peut même y injecter un thread qui appelle ExitProcess()...

[Ulmo]

CreateProcess() en passant CREATE_SUSPENDED
WriteProcessMemory() et ReadProcessMemory()
ResumeThread()

Cette réponse me convient parfaitement. Merci !

L'option debugger, ou VirtualAllocEx/EnumModule/... est plus complquée pour ce que je souhaite faire, à savoir charger une bibliothèque supplémentaire et remplacer quelques fonctions du programme par celles de la bibliothèque.

[Ulmo]

Humm, bizzare. Je fais mes modifications avec WriteProcessMemory, un ReadProcessMemory confirme qu'elles ont eu lieu, mais quand je lance le thread, les modifications ont disparues (vérification avec OllyDbg).

D'ailleurs, pourquoi OllyDbg ne trouve pas le thread quand je suis entre le CreateProcess et le ResumeThread ?