Вроде более чем понятно написал 🤷‍♂️

Где код?

Start-job -scriptblock {iex c:\test.ps1} -не работает
Iex ‘c:\test.ps1’- работает
Внутри c:\test.ps1 все работает, до вызова:
$Win32Functions.createThread.invoke(“тут указатель на область памяти в которой записан PE-portableExecution).

запиши в test.ps1 "hello world" > c:\hw.txt и все взлетит

а так, без дебага норм работать с областью памяти левого процесса?

Знаю что взлетит “hello..”, не понятно почему не взлетает прямой вызов из памяти только в рамках start-job. Ограничений в манах нету никаких.

ответь на предыдущий вопрос

да, важно понять в каком процессе загружается экзешник

если чо старт-жоб рождает отдельный процесс полностью

у тебя есть процесс А и область памяти его от 0 до 10 и процесс Б с областью памяти от 11 до 21
Процесс Б может работать с памятью от 5 до 7 скажем?

джоб это процесс Б

ну, тут достаточно понять что виртуальные области памяти у процессов разные совсем)

и если в одном процессе по адресу 0x11111111 записано, в другом по этому адресу будет хуй или другие данные

Проверил выполнение CreateThread через Start-Job, калькулятор запустился

Внутри Test.ps1 лежит Powersploit’овский invoke-reflectionpeinjection, он берет PE, пишет в память, запускает main этого PE напрямую из памяти. Сам PE лежит на диске, читается скриптом и им же кормится в invoke-reflectivePEinjection.

Таким образом, еси запуск через start-process, то запускается дочерний powershell.exe, пишет PE в память, но не запускается
Если через iex, то в том же процессе идёт запись в память и запускается нормально.

CreateThread вроде начиная с 7?

Очевидные вещи говорите :) именно поэтому пишу в память из того процесса, из которого читать планирую.

мамкин хакир в треде!!