Hey,

ch erzeuge mittels CreateProcess eine neue Prozessinstanz. Der erzeugte Prozess versucht sich nach Abschluss seiner Tätigkeit selbst zu löschen. Das Starten des Prozesses ist etwas komplizierter, da die EXE aus einer Resource geladen und im Arbeisspeicher ausgeführt wird (siehe Nicos InMemExe Beispiel .. so in der Art). Nur, dass als "Wirtsprozess" aus bestimmten Gründen nicht die eigene EXE verwendet wird.

So, nun wird also die sich selbst löschende EXE in meinem "Wirtsprozess" ausgeführt. Nach Abschluss des Vorgangs ist logischerweise nicht die selbst löschende EXE entfernt worden, sondern das Image des Wirtsprozesses

Kann ich irgendwie dem Wirtsprozess vortäuschen, dass sein EXE Image eine andere Datei ist? Meine mal etwas mit PEB gelesen zu haben ..

Gruß Florian