Приложение с дллкой (dll-inject). Вопрос

Сейчас на форуме: Magister Yoda, vasilevradislav, site-pro (+5 невидимых)

Посл.ответ	Сообщение
Fenrisus Ранг: 5.6 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 апреля 2014 02:30 · Поправил: Fenrisus · Личное сообщение · #1 Доброго времени суток. Суть задачи - сделать "portable" версию приложения с DLL-injected кряком. Немного подробнее: я взломал одно приложение хукнув туда DLL'ку свою, которая меняет значения в памяти, ну и которая имеет много разного функционала для работы с приложением типа: Code: Naked (gKeyAppASM00) { _asm { MOV gTmpEax,EAX MOV gTmpEsi,ESI MOV gTmpEdi,EDI MOV gTmpEcx,ECX MOV gTmpEdx,EDX MOV gTmpEbx,EBX MOV gTmpEsp,ESP MOV gTmpEbp,EBP } //---- patchRSAKey(); //---- _asm { MOV EAX,gTmpEax MOV ESI,gTmpEsi MOV EDI,gTmpEdi MOV ECX,gTmpEcx MOV EDX,gTmpEdx MOV EBX,gTmpEbx MOV ESP,gTmpEsp MOV EBP,gTmpEbp PUSH 0x0 MOV ECX,DWORD PTR SS:[EBP-0x4] //--- JMP gKeyAppASM00Jmp00 } } Все работает замечательно. Только вот проблема: чем я могу прилепить эту DLL'ку к приложению (и ресурсы например), что бы не таскаться с ней? Пробовал Крота (Molebox) - пишет что DLL Corrupted при запуске. А взял стандартный file-joiner, у меня вот такая вот простыня (File-joiner + UPX). В принципе когда DLL торчит наружу - антивири не ругаются. Посоветуйте чего дельного, чем можно DLL'ку то "прикрепить" а-ля Molebox?

Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 15 апреля 2014 02:35 · Поправил: Dr0p · Личное сообщение · #2 Fenrisus Из памяти загружайте.
Fenrisus Ранг: 5.6 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 апреля 2014 02:48 · Личное сообщение · #3 Хмм... а какой нибудь пример? DLL'ка сейчас загружается через LoadLibraryA...
TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 15 апреля 2014 02:53 · Личное сообщение · #4 http://forum.antichat.ru/showthread.php?t=132116
Fenrisus Ранг: 5.6 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 апреля 2014 02:59 · Личное сообщение · #5 Ооо спасибо. Буду пробовать
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 15 апреля 2014 03:04 · Поправил: Dr0p · Личное сообщение · #6 TryAga1n Там не годные методы описаны. Следует взять лодер, который сам полноценно выполняет работу с пе, а не вручную настраивать всё. Я бы LWE заюзал, он на x64 тоже робит.
Fenrisus Ранг: 5.6 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 апреля 2014 03:16 · Личное сообщение · #7 Ну да, методы не особо годны. Уже почитал. Там то суть задачи не hide-dll-инжект load, а в том, что бы просто эту дллку (уже хукнутую и работающую) "вшить" в экзешник, и что бы она работала (ога попробовал запаковать Темидой - то темида крашится то DLL'ка не работает ровно как и весь exe). Еще вот думаю посмотреть VMWare, Thinstall но я пока не нашел версии "условно бесплатной" (хехе). А обычные file-joiner'ы хоть и работают, но тогда все антивири (кроме совсем уж убогих) своим долгом считают завопить про троян.
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 15 апреля 2014 03:24 · Личное сообщение · #8 Fenrisus Берите LWE и в виде пошифрованного дампа прикрепляйте дллку. Не забудте про антиэмуль. Дллмейн выполняться не будет в статике, так что косяков не будет.
Fenrisus Ранг: 5.6 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 апреля 2014 03:34 · Поправил: Fenrisus · Личное сообщение · #9 Sir Dr0p, немогли бы вы поделится ссылкотой на LWE?
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 15 апреля 2014 03:44 · Поправил: Dr0p · Личное сообщение · #10 Fenrisus Тут поиском поищите в моих постах. У меня есть, но я хз какой билд был последний. Он тут где то выложен. С кл можно наверно слить, хотя там наверно тоже не последний хмм. --> Link <-- вот.
Fenrisus Ранг: 5.6 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 15 апреля 2014 04:58 · Поправил: Fenrisus · Личное сообщение · #11 Ага спс. Последний и сам ищу у меня староват уже. немного оффтоп. по поводу DLL'ки, хотел сделать sound notifications(ну типа событие - звук там какой), интересный вопрос такой - почему не работает: Code: #inclide <windows.h> #include <mmsystem.h> //хотя нормальные люди подключают это в линкере гыгы но тест же. #pragma comment(lib, "Winmm.lib") extern "C" __declspec (dllexport) void __cdecl EntryPoint() { //вылезалка типа длл работаэ TestNotify(); } BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: //по идее тут должен быть звукъ PlaySound("sound.wav", 0, SND_FILENAME \| SND_SYNC); EntryPoint(); break; } return TRUE; } Вот кому не скидывал (уже 4 человека) никому не удавалось сделать что бы PlaySound (WinAPI) работал... Хоть и оффтоп и вообще тема программистская, но был бы рад, если б кто обьяснил почему "из" dll'ки звук не воспроизводится. Перепробовал уже и .RC делать, и даже в DLLMain добавлял hInstance (но тогда dll тупо не работает и не выводит текстовое сообщение и звук).
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 15 апреля 2014 06:38 · Личное сообщение · #12 Fenrisus Code: Инициализация шадова. Если вызвать теневой сервис до инициализации User32, это приведёт к фолту при вызове вектора в apfnDispatch{}. При инициализации верифера шадов не инициализирован. Пропустить инициализацию модулей нельзя, так как в статически прилинкованных модуля может быть детект дебаггера. Выполнить вручную дллмейн нельзя, так как не инициализирован кернел. Решение очевидно - обождать возврат из дллмейн юзер32. Для этого описываем слепком дллмейн. Фильтр выполнит наш код при возврате из сервисов в дллмейн, тогда мы маршрутизируем(2nd). В отложенной процедуре мы получим управление при возврате из дллмейн(UserClientDllInitialize ). При этом шадов полностью инициализирован. Вероятно по той же причине у вас и не робит. В добавок нельзя потоки создавать в дллмейн из за загрузочной блокировки - LdrpLoaderLock.
msvc Ранг: 2.1 (гость) Активность: 0=0 Статус: Участник	Создано: 16 апреля 2014 22:55 · Личное сообщение · #13 TryAga1n пишет: http://forum.antichat.ru/showthread.php?t=132116 проддублируйте аттач там регистрация нужна и закрытав.
TryAga1n Ранг: 262.5 (наставник), 337thx Активность: 0.34↘0.25 Статус: Участник	Создано: 16 апреля 2014 22:57 · Личное сообщение · #14 . 632b_16.04.2014_EXELAB.rU.tgz - DLLLoad.zip \| Сообщение посчитали полезным: msvc
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 17 апреля 2014 05:06 · Личное сообщение · #15 Весьма печально. Создан полноценный загрузчик, который даже нельзя улучшить никак, причём с динамическим недетектом за счёт маршрутизаций. Но это никому не нужно, лучше заюзать какой то отстой \| Сообщение посчитали полезным: Ra1n0, Fenrisus
Fenrisus Ранг: 5.6 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 18 апреля 2014 12:59 · Личное сообщение · #16 Загрузчик там конечно неплох, в чем то. Однако уж лучше заюзать LWE, хотя я щас придумал и пробую совсем топорный метод. (Опять изобретаю велосипед) Думаю взять вот эту DLL'ку и сделать следующее. В программе есть BinaryData, так вот, в этот .dat файл добавить секцию с кодом DLL'ки, следовательно при загрузке (оффсет знаю где) читать это и от туда инициализировать... Чую что не по тому пути иду, но попробую чисто ради интереса.
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 18 апреля 2014 13:54 · Личное сообщение · #17 Fenrisus Так это загрузчики и делают.

Для печати