Сейчас на форуме: Magister Yoda, site-pro, Rio, johnniewalker (+5 невидимых)

 eXeL@B —› Крэки, обсуждения —› Mod_4B3C.dll
Посл.ответ Сообщение

Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 01 июля 2012 10:28 · Поправил: ELF_7719116
· Личное сообщение · #1

Достаточно странная история произошла при отладке будущего SecuRom_Profiler. Отладчик - OllyDbg 2.01 (Alpha 4)
В процессе отладки в памяти отлаживаемого процесса иногда появляется(закономерности нет) скрытая библиотека Mod_4B3C.dll(Mу Olly Debugger???) 4B3C(hex) = 19260(dec)



Кроме ольки, никто (ProcessExplorer, PETools) ее больше не видит, поэтому сколотив жалкое подобие дампера криво сдампил. Предполагаю, что библиотека олькина.
Вторая странность заключается в том, что SRPII при переборе обнаруживает скрытый процесс(pid всегда не кратна 4) - открыть и получить базовую системную информацию можно, но путь загрузки модуля отсутствует. И все это заставляет по крайней мере немного задуматься.

8bc1_01.07.2012_EXELAB.rU.tgz - MOD.zip




Ранг: 150.3 (ветеран), 175thx
Активность: 0.160.07
Статус: Участник

Создано: 01 июля 2012 10:52 · Поправил: -=AkaBOSS=-
· Личное сообщение · #2

библиотека - MSCTF.dll
см. аттач

b352_01.07.2012_EXELAB.rU.tgz - MOD.7z

по поводу скрытого процесса - ну проскань систему чем-то типа GMER или RkU



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 01 июля 2012 11:07
· Личное сообщение · #3

Меня больше интересует вопрос по скрытности - фитча OllyDbg или это можно провернуть самому прикладными способами.




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 01 июля 2012 11:15
· Личное сообщение · #4

По скрытности чего, длл? Удали любую длл из списка загруженных модулей в пебе-и не будет светиться она при перечислении модулей. А если замапить руками, то и ещё меньше где засветится. Если олька сама её грузила, она может и знать, где эта длл и что за длл.



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 01 июля 2012 11:22
· Личное сообщение · #5

Archer
Скорее всего сама - пауза при загрузке новой длл не срабатывает.
Как тогда обьяснить отсуствие закономерности в появлении Mod_4B3C.dll в памяти?




Ранг: 150.3 (ветеран), 175thx
Активность: 0.160.07
Статус: Участник

Создано: 01 июля 2012 11:53 · Поправил: -=AkaBOSS=-
· Личное сообщение · #6

ELF_7719116 пишет:
пауза при загрузке новой длл не срабатывает.

а трассируешь от точки входа основного модуля, или от System breakpoint?
если первое - то может и не остановится, так как может грузится виндой при обработке импорта

| Сообщение посчитали полезным: TLN


Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 01 июля 2012 12:32
· Личное сообщение · #7

Пауза при загрузке длл-это всего лишь стандартая штука при загрузке виндой. Если мапить руками, пауза и не должна работать. А отсутствие закономерности... наверняка она есть, просто пока не понятна. Как вариант-во-первых, разобраться, кто инжектит, поискав хотя бы просто по последовательности байтов. Во-вторых, брать да отлаживать инжектор, когда он срабатывает.



Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 01 июля 2012 13:25
· Личное сообщение · #8

Загрузка происходит на первом шаге пошаговой трассировки, после остановки на программном брекпоинте.




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 01 июля 2012 14:07
· Личное сообщение · #9

USER32.GetSystemMetrics>LoadLibraryExW

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.




Ранг: 419.0 (мудрец), 647thx
Активность: 0.460.51
Статус: Участник
"Тибериумный реверсинг"

Создано: 02 июля 2012 17:47
· Личное сообщение · #10

Прикол в том, что если на GetSystemMetrics/LoadLibraryExW ставить любую из возможных точку останова библиотека не появляется. Возможно какаю-то роль здесь играет тот факт, что действие происходит в созданном мною потоке (через CreateRemoteThread)


 eXeL@B —› Крэки, обсуждения —› Mod_4B3C.dll
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати