После обновления на 1903 люди начали жаловаться что перестали работать лекарства, реализованные через прокси-дллки.
Например version.dll
Для тех кто не в теме: винда по умолчанию (раньше) ищет загружаемую прогой dll сначала в папке самой проги, если не находит, то дальше идёт в ...\system32\ .Если мы создаём dll с системным именем, как например version.dll, сделаем в ней тот же экспорт, и "проксирование" этого экспорта на настоящую системную dll. То все будет работать как раньше, но наша dll уже инжектирована в процесс, причем на самом старте, и мы можем делать с ним что угодно.

Тепрь же это не прокатывает, dll сразу грузится из system32....
Комрады, в какую сторону копать? Чую какое то обновление виновато, может какие записи в реестре появились или еще что. Кстати в Win2012 после установки обнвлений та же беда...

| Сообщение посчитали полезным:

Ну вот актуальные доки, там все написано.
Обрати внимание на dll security

| Сообщение посчитали полезным:

VOLKOFF
Ответа на вопрос там не нашел.
Вне зависимости от "safe DLL search mode" первая папка куда он должен смотреть - папка запускаемого приложения. Так всегда и было, со времен XP. а сломалось все только на 1903 релизе 10ки.

| Сообщение посчитали полезным:

RAMZEZzz пишет:
Ответа на вопрос там не нашел.

Присоединяюсь к вопросу.
Прочел раздел про Dynamic-Link Library Security, но тоже не нашел там ответа.
Может быть дружище VOLKOFF ткнет носом?

PS
может тут дело в


-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Для Win2012 решил удалением KB4486105
копаю 10ку...

| Сообщение посчитали полезным:

RAMZEZzz пишет:
После обновления на 1903 люди начали жаловаться что перестали работать лекарства, реализованные через прокси-дллки.
Например version.dll
А можно конкретику?
Конкретно,ссылку на релиз где дллка не грузится?

| Сообщение посчитали полезным:

Если твоя version.dll уже загружена так или иначе кем-то еще, напрямую или через аписет то твоя дллка не будет использоваться. Если процесс который ты решил проксировать ставит митигейшн опции PreferSystem32Images приоритет загрузки также меняется. Это может быть установлено как в коде так и в реестре. В любом случае ты дал мизерное количество информации и предоставил гадать на гуще. Воспроизводить это у себя мне да и большинству лень. Если твой целевой процесс дотнет параша то да там чето было в 1903 касательно мощных апдейтов дотнет направленных на секьюрити.

| Сообщение посчитали полезным: BlackCode

RAMZEZzz пишет:
первая папка куда он должен смотреть - папка запускаемого приложения
совсем не обязательно.
любая загрузка dll средствами LoadLibrary или LoadLibraryEx сводится к вызову LdrLoadDll.
если ковырнуть идой LoadLibraryExW в kernelbase.dll можно увидеть что передаётся в LdrLoadDll.
первый параметр это как раз флаг поиска (dwFlags) из LoadLibraryEx.

если используется LoadLibrary флаг в LdrLoadDll равен NULL (не используется).
поэтому используйте LoadLibraryEx (или сразу LdrLoadDll) с флагом поиска LOAD_LIBRARY_SEARCH_SYSTEM32
If this value is used, %windows%\system32 is searched for the DLL and its dependencies. Directories in the standard search path are not searched.

| Сообщение посчитали полезным:

BlackCode
Да вот хоть эта
https://yadi.sk/d/WBb00vl0PjC6Mg


Alchemistry
До обновления работало прекрасно, проверил 3 приложения, правда все дотнетовские. Похоже что .net 4.8 виноват, до этого 4.7.2 стоял... Ещё проверю НЕ дотнет и проверю после установки 4.8 на семерке например.

dezmand07
Это то все понятно, так бы и до обновления винды не работало, а оно работало прекрасно. И не одно приложение.

plutos
У тебя тоже с дотнетом это было? Или не только?
plutos

| Сообщение посчитали полезным:

Нужно было использовать загрузчик(внедрять в апп), не было бы проблем. А подмена модуля это малварный способ, может блокироваться чем угодно.

Теперь возвращайтесь к исходной задаче и пилите загрузчик - инфект, либо запуск с инжектом

-----
vx

| Сообщение посчитали полезным:

RAMZEZzz
Кстати, я частенько применяю прокси технологию.
Так вот было замечено, что под разными системами 7 или 10, последовательность загрузки либ (DLL) может
сильно разница.
К примеру, если под 7кой version.dll загружается 2-3 по счету, то под 10-кой она может загружаться 7-8 и т.д.
Т.е. под 10-ой version.dll загружается на много позже и момент, в который необходимо отловить чтобы
пропатчить в памяти байты, уже упущен.
Так что существует такая "побочка" у данного метода.

Добавлено спустя 13 часов 3 минуты
Только что переустановил винду на 1903, проверил свои просики.. все работает
Установил "с нуля" с маздайского оригинального образа.
Так что проблема не в системе

| Сообщение посчитали полезным: plutos

проверил НЕ дотнет проги - все работает
Короче проблема в .NET 4.8
Не в курсе, есть у дотнета какие либо "рычажки" за которые можно подёргать?

BlackCode
Я обычно при загрузке моей длл хуки ставлю на нужные апи и подменяю их результаты в случае выполнения нужных мне условий, например возвращаю успешный результат проверки ЦП в "своей" лицензии и т.п. Поэтому не так важно когда она загрузилась, так как проверки в большинстве случаев начинаются позже. По крайней мере лет за 5 использования такого способа проблем не возникало.

difexacaw пишет:
Теперь возвращайтесь к исходной задаче и пилите загрузчик - инфект, либо запуск с инжектом
не всегда это возможно, например прога протектором накрыта, а так бросил dll которая хуки поставила и ждёт своего часа - и всё (с темидой, армадилой, хаспЛМ и т.п. прокатывает отлично).

Добавлено спустя 8 минут
BlackCode пишет:
Только что переустановил винду на 1903, проверил свои просики.. все работает
дотнетовские проги есть? проверьте плиз.
Ну и убедитесь что в системе уже .net 4.8

| Сообщение посчитали полезным:

RAMZEZzz пишет:
Ну и убедитесь что в системе уже .net 4.8

The following code checks the value of the Release entry to determine whether the .NET Framework 4.6.2
or later is installed.
This code returns True if it's installed and False otherwise.



Ну, раз TRUE, значит .net 4.8 installed.


BlackCode пишет:
Только что переустановил винду на 1903, проверил свои просики.. все работает

И у меня вроде все работает... Может какой kb был виноват?
Теперь переустановил с нуля и порядок.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: BlackCode

Вы чего все через зеркало ходите, или это у меня только форум не работал последние сутки?

Alchemistry пишет:
Если твоя version.dll уже загружена так или иначе кем-то еще, напрямую или через аписет то твоя дллка не будет использоваться. Если процесс который ты решил проксировать ставит митигейшн опции PreferSystem32Images приоритет загрузки также меняется

Именно, о чем прямо написано в доках, я не "на отвали" ссылку оставил, если бы были принципиальные изменения в билде ОС, об этом было бы упомянуто чуть ли не жирным шрифтом. DLL Redirection официально заявлена как фича и проснувшись с утра в плохом настроении ее никто не выпилит без предупреждения в ближайшем апдейте.

И по большому счету проблема решается банальным перехватом загрузки модулей. Неудобняк стартовать с лодыря, можно пропатчить IAT и еще 100500 вариантов.

Что касается NET, имеет смысл глянуть манифесты и конфиги, вроде можно перенаправить версию сборки на уровне ПК и потестить "даунгрейд"

Не исключено что у вас дефендер или антивирусники шалят

| Сообщение посчитали полезным:

VOLKOFF пишет:
это у меня только форум не работал последние сутки

похоже, что у всех не работал. по крайней мере у меня точно.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

RAMZEZzz
Если это теперь часть фреймворк ты можешь попробовать альтернативные методы подгрузки длл. Например дотнет CorProfiler.

| Сообщение посчитали полезным: plutos

RAMZEZzz

> с темидой, армадилой, хаспЛМ и т.п. прокатывает отлично

Слой защиты никакого отношения не имеет к динамическому импорту из апп.

BlackCode

> К примеру, если под 7кой version.dll загружается 2-3 по счету

Один из последних семплов из раздела запросов на взлом ваш, там version.dll

В этом случае не система загружает, а само апп(szondi") прямым вызовом loadlibrary. К этому времени уже много что загружено. Под 7-кой.

Добавлено спустя 59 минут
Загрузочный лог.

e09b_21.08.2019_EXELAB.rU.tgz - 0xB94_szondi.exe_.log.7z

-----
vx

| Сообщение посчитали полезным:

сделал простенькую дотнет программку, создающую и проверяющую RSA сигнатуру: с заведомо правильной подписью и с заведомо неправильной. Она использует CryptVerifySignatureW.
Также рядом кладу version.dll, которая подменяет CryptVerifySignatureW на свою, возвращающую всегда TRUE.
Вот результаты тестов:
Win 7 с дотнетом 4.7.2 --> Link <-- (version загрузился, фейк сработал)
Win 7 с дотнетом 4.8 (обновил) --> Link <--
Win 10 с дотнетом 4.8 --> Link <--

Вот сама программа (под .NET 4.5.2) с исходником и с version.dll: --> Link <--

Ну и соответсвенно ProcMon показывает загрузку version СРАЗУ из ..\system32\ без попыток поиска ее где либо еще

| Сообщение посчитали полезным:

BlackCode
всплыла проблема на паблик, о чем я уведомлял. теперь припоминаю - косяки были на дотнет софте
difexacaw
сонди это натив

использование лоадера катит, причем сразу грузим version из папки софта без проблем. но, если у софта несколько модулей - делать "спрута" на createprocess() не самый лучший вариант
RAMZEZzz пишет:
ProcMon показывает загрузку version СРАЗУ
угум-с

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
всплыла проблема на паблик, о чем я уведомлял. теперь припоминаю - косяки были на дотнет софте
Для дотнет я не использую прокси, только для нативных прог.
Идеальным решением проксирование либ, конечно не является.
Но этот метод, как по мне, является более эстетичным, чем лодырь или инжектор.

| Сообщение посчитали полезным:

RAMZEZzz пишет:
СРАЗУ из ..\system32\ без попыток поиска ее где либо еще
ну напр. wintrust.dll и ранее никогда не удавалось подгрузить из папки софта - всегда грузился только из системы. Так что эта проблема не нова - видимо теперь и версион.длл попал в какой-то "тайный" список наподобие knownDLL

| Сообщение посчитали полезным:

LdrLoadDll подебажте, символы же есть, все тайные списки станут явными

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

BlackCode пишет:
является более эстетичным, чем лодырь или инжектор
не спорю. но, например, unisoft'овская прокси-либа для ida 7.2 пошла по ... у меня в 10-ке. почему я был против такого инжекта для иды
Alf
на святое замахнулись

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
unisoft'овская прокси-либа для ida 7.2 пошла по ... у меня в 10-ке
Кинь ссылочку, гляну что там не так
Это которая типа патчит проверку ключа? Если не изменяет память, он правит условные переходы вроде,
а в файле ключа сохраняет оригинальную подпись.
Ну у меня для иды свое лекарство

| Сообщение посчитали полезным:

RAMZEZzz, вариант AppInit_DLLs не рассматривали? Хоть в msdn'е и сказано, что это устаревший способ и лучше его не использовать, но пока работает стабильно, хотя я не проверял в какой момент грузятся dll таким способом.

| Сообщение посчитали полезным:

user99 пишет:
AppInit_DLLs не рассматривали?
Антивирусы будут сходить с ума

| Сообщение посчитали полезным:

user99
Однажды пришлось использовать, но потом отказался, не на всех системах работало и да, антивири в панике

Думаю надо копать в сторону .config файла, какую либо волшебную запись внести для подгрузки длл.
Пока есть мысль сделать сборку на шарпе, которую через конфиг как либо подгрузить в дотнетовский процесс, а она в свою очередь чтобы грузила нативную version к примеру, либо сама все делала.

| Сообщение посчитали полезным:

AppInit_DLL, LdrLoadDll ... имхо, это уже прошлый век.
Норот Steam копает. А еще есть EA Origin и неочевидные фитчи всяких DENUVO с собственными коллбеками по абсолютно легальному запуску "левого" кода.

plutos
https://m.habr.com/ru/company/pm/blog/462479/
и где-то видел ещё - было продолжение.

| Сообщение посчитали полезным: plutos

ELF_7719116 пишет:
Норот Steam копает.

Можно подробности, пожалуйста?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

BlackCode
было в теме про ида --> Link <--
user99
AppInit_DLLs - это не решает топик. в момент загрузки активен только kernel32. если что-то в импорте еще - часто ппц системе

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: tromb190