Exe im Ram ausführen ist bei meiner uallCollection dabei und da sollte auch keine Firewall meckern.

Norton 2007 meckert, wenn man mit WriteProcessMemory die Datei in den Speicher schreiben will. Ich habe jetzt nur mein Programm schon total an die Routinen von Nico angepasst.

Perfekt wäre es halt, wenn ich de Hooks von WriteProcessMemory umgehen kann.

wenn du userland hooks umgehen willst, lade eine temp kernel32 .. 100%tig keine hooks

In welchen Speicher denn? Im eigenen brauchst du kein WriteProcessMemory... und im Speicher von anderen Programmen meckert Norton zurecht. Ohne zu sagen was du machen willst gibts keine weitere Hilfe.

@Win32.API: 100% bestimmt nicht...

ja gut, aber zu 99% :>

Wie mache ich das?

Alle Leute sind direkt so negativ zu den Dingen eingstellt .. der Packer Source von Nico:

http://www.luckie-online.de/dirindex.../Importe/Nico/ -> inmemexe.zip

Benötigt WriteProcessMemory, um die Datei im Speicher auszuführen. Es wird übrigens sozusagen im eigenen Speicher geschrieben, weil das Programm sich selbst nocheinmal startet. Und in diesen Speicherbereich kommen dann die Daten der auszuführenden EXE.

Du kopierst die kernel32.dll einfach in den Tempordner und laedst sie mit LoadLibrary.

Um in den eigenen Speicher zu schreiben brauchst du kein wpm.

Vielen Dank, das werde ich mal ausprobieren.

Es ist nicht ganz mein eigener Speicher. Mein Prozess startet sich selbst ein zweites mal; diesmal aber SUSPENDED. Dann schreibt er in den Adressbereich des zweiten Prozesses die Daten der auszuführenden EXE und lässt diesen weiterlaufen.

Als wenn Norton keinen Kernel-Hook hat. Den Sinn von deinem Vorgehen hab ich immer noch nicht verstanden...
Und ist ja auch super sauber die Kernel32.dll umzukopieren. Selbst das bringt dir nix wenn auf NtCreateProcess ein Hook ist.
Solange keine guten Argumente kommen warum so ein Vorgehen sinnvoll ist, werd ich dir keine saubere Lösung anbieten.
Es wird immer nur die Hälfte erklärt und am Schluß nach 50 Posts sellt es sich herraus, dass das ganze viel einfacher zu machen ist und man umsonst wieder seien Zeit geopfert hat um dem Threadersteller zu helfen.

1) Mir ist bekannt, dass ich Kernel Hooks damit nicht umgehen kann
2) Argumente:

* Ich habe mein Programm bereits voll auf den Code von Nico ausgelegt und es geht alles wunderbar
* Weil nur Norton (und vielleicht noch andere) Firewalls meckern beim Aufruf von WriteProcessMemory will ich die API Hooks aller verwendeten APIs umgehen
* Die Hooks zu umgehen ist wohl sinnvoller als den Kernel rumzukopieren, wie du schon gesagt hast
* Ich will den Benutzern ein funktionierendes Programm bieten können, dem nicht einige Firewall dazwischenfunken

Reichen die? Fals du weißt wie man einen API Hook umgehen kann, dann bitte ich dich mir dabei zu helfen. Wenn du dir Nicos Beispiel mal angeguckt hast, dann kannst du sicher erkennen, wie das mit dem WriteProcessMemory gemeint ist. Da steckt nichmal die Absicht hinter in einen wirklich "fremden" Prozess etwas zu schreiben.

Fals du denkst, das Vorgehen den API Hook zu umgehen ist ineffizient, da Norton eh einen Kernel Hook hat, dann kann man ja evtl auch da was machen, wobei ich vermute, dass dies höchst kompliziert ist.