Потестите PE Loader

Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+4 невидимых)

. 1 . 2 . >>

Посл.ответ	Сообщение
Rustem Ранг: 74.1 (постоянный), 34thx Активность: 0.03↘0 Статус: Участник	Создано: 18 января 2010 10:06 · Личное сообщение · #1 Приветствую. Обновлял своего апи шпиона. Реализовал метод когда один процесс проецирует внутрь себя другой, настраивает импорт и передает управление на ентри поинт. До передачи управления на entry point можно сделать что то полезное, например внедрить длл Пока что экспериментальный лоадер, кому не в лом потестите на системах. Ограеничения не держит файлы с TLS Если сорцы нужны, пишите в личку 4c9b_17.01.2010_CRACKLAB.rU.tgz - peldrtst.zip

Rustem Ранг: 74.1 (постоянный), 34thx Активность: 0.03↘0 Статус: Участник	Создано: 26 января 2010 18:08 · Личное сообщение · #2 Желающих тестировать не нашлось... Как в пословице: хочешь, чтобы было сделано хорошо,-делай сам.... В общем, эта версия под вистой и выше не работает
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 26 января 2010 18:48 · Личное сообщение · #3 Rustem пишет: Желающих тестировать не нашлось это не так. тестил без инета, потом забыл отписаться. Rustem пишет: В общем, эта версия под вистой и выше не работает По поводу висты не скажу, а вот по поводу "и выше" - ты не прав. Протестил на Windows 7 32 и 64 - работает и там и там Также протестил на Windows XP SP3 - работает. ----- EnJoy!
zeppe1in Ранг: 127.3 (ветеран), 44thx Активность: 0.09↘0 Статус: Участник	Создано: 26 января 2010 21:06 · Личное сообщение · #4 я тестил на xp sp3, тоже всё путём, ничо и не писал поэтому. наверно ни у каво нету висты). и такой вопрос ещо, в NET проги длл инжектит нормально? а то обычный метод с созданием потока не канает. ----- zzz
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 26 января 2010 23:56 · Личное сообщение · #5 Rustem пишет: Желающих тестировать не нашлось... - отходим после НГ На Windows Server 2003 SP2 фурычит. ----- продавец резиновых утёнков
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 28 января 2010 00:47 · Поправил: mak · Личное сообщение · #6 Вин 7 32 ...хп сп2 , сп3 , плюс пре сп4 там еще не тестил вывод с вин7 32 Code: PE Loader v1.2 Exe : C:\Users\Mak\Desktop\peldrtst\hello.exe IMAGE_FILE_HEADER NumberOfSections :3 SizeOfOptionalHeader :E0 IMAGE_OPTIONAL_HEADER ImageBase : 400000 AddressOfEntryPoint : 11D9 SectionAlignment : 1000 FileAlignment : 1000 SizeOfImage : B000 SECTION: 0 VirtualSize : 50E8 VirtualAddress : 1000 SizeOfRawData : 6000 PointerToRawData : 1000 Characteristics : 60000020 SECTION: 1 VirtualSize : 1664 VirtualAddress : 7000 SizeOfRawData : 2000 PointerToRawData : 7000 Characteristics : 40000040 SECTION: 2 VirtualSize : 1C88 VirtualAddress : 9000 SizeOfRawData : 1000 PointerToRawData : 9000 Characteristics : C0000040 Memory for image allocated Header size on file: 1000 Map section : 0 File Offset : 1000 File Size : 6000 Virtual Address : 401000 Map section : 1 File Offset : 7000 File Size : 2000 Virtual Address : 407000 Map section : 2 File Offset : 9000 File Size : 1000 Virtual Address : 409000 Jupiter нравятся такие таблички с данными А если серьезно , то просто привычка , есть определенные правила тестирования софта , одно из них это выкладывание данных выданных прогой независимо от результата. Актуально или нет .. но пусть будет ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
SergX Ранг: 226.0 (наставник), 67thx Активность: 0.16↘0 Статус: Участник	Создано: 28 января 2010 21:25 · Личное сообщение · #7 Win XP SP2 Code: PE Loader v1.2 Exe : C:\test\hello.exe IMAGE_FILE_HEADER NumberOfSections :3 SizeOfOptionalHeader :E0 IMAGE_OPTIONAL_HEADER ImageBase : 400000 AddressOfEntryPoint : 11D9 SectionAlignment : 1000 FileAlignment : 1000 SizeOfImage : B000 SECTION: 0 VirtualSize : 50E8 VirtualAddress : 1000 SizeOfRawData : 6000 PointerToRawData : 1000 Characteristics : 60000020 SECTION: 1 VirtualSize : 1664 VirtualAddress : 7000 SizeOfRawData : 2000 PointerToRawData : 7000 Characteristics : 40000040 SECTION: 2 VirtualSize : 1C88 VirtualAddress : 9000 SizeOfRawData : 1000 PointerToRawData : 9000 Characteristics : C0000040 Memory for image allocated Header size on file: 1000 Map section : 0 File Offset : 1000 File Size : 6000 Virtual Address : 401000 Map section : 1 File Offset : 7000 File Size : 2000 Virtual Address : 407000 Map section : 2 File Offset : 9000 File Size : 1000 Virtual Address : 409000
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 28 января 2010 22:26 · Личное сообщение · #8 mak, SergX если всё нормально, то зачем выкладывать лог hello.exe? тестируй файлы с пакерами, например, если будет ошибка - выложишь лог. ----- EnJoy!
Rustem Ранг: 74.1 (постоянный), 34thx Активность: 0.03↘0 Статус: Участник	Создано: 29 января 2010 08:55 · Личное сообщение · #9 Jupiter +1 Тут проблема есть, как эмулить TLS.... на дельфи прогах падает от этого, но и для более полной поддержки
s0l Ранг: 60.6 (постоянный), 20thx Активность: 0.07↘0 Статус: Участник	Создано: 29 января 2010 09:09 · Поправил: s0l · Личное сообщение · #10 Windows Seven x64 - чистые файлы норм запускает, попробовал запакованный DiE запустить, предварительно убрав TLS. Не захотело. Code: PE Loader v1.2 Exe : E:\Reversing\!Analise\DiE 0.64\DiE.exe IMAGE_FILE_HEADER NumberOfSections :4 SizeOfOptionalHeader :E0 IMAGE_OPTIONAL_HEADER ImageBase : 400000 AddressOfEntryPoint : 135E0C SectionAlignment : 1000 FileAlignment : 200 SizeOfImage : 136000 SECTION: 0 VirtualSize : B7000 VirtualAddress : 1000 SizeOfRawData : 0 PointerToRawData : 400 Characteristics : E0000080 SECTION: 1 VirtualSize : 7B000 VirtualAddress : B8000 SizeOfRawData : 7B000 PointerToRawData : 400 Characteristics : E0000020 SECTION: 2 VirtualSize : 2000 VirtualAddress : 133000 SizeOfRawData : 1A00 PointerToRawData : 7B400 Characteristics : C0000040 SECTION: 3 VirtualSize : 1000 VirtualAddress : 135000 SizeOfRawData : 1000 PointerToRawData : 7CE00 Characteristics : 60000060 Memory for image alloc error MapPE error Еще немного отчетов по пакерам.+ запустилось, - нет bfba_28.01.2010_CRACKLAB.rU.tgz - packers.rar
Rustem Ранг: 74.1 (постоянный), 34thx Активность: 0.03↘0 Статус: Участник	Создано: 29 января 2010 12:42 · Личное сообщение · #11 В атаче исправленная. Должно работать ee8b_29.01.2010_CRACKLAB.rU.tgz - peldr2.zip
sendersu Ранг: 512.7 (!), 360thx Активность: 0.27↘0.03 Статус: Модератор	Создано: 29 января 2010 15:07 · Личное сообщение · #12 Rustem потестил чуть на своем добре (брал последний из пред. поста) Глянь пож-ста в аттач От себя добавлю - много GUI прог не завелись (но и не падали) Если надо детали - напишу. 0183_29.01.2010_CRACKLAB.rU.tgz - peldr2_test_results.zip
Rustem Ранг: 74.1 (постоянный), 34thx Активность: 0.03↘0 Статус: Участник	Создано: 29 января 2010 18:23 · Личное сообщение · #13 sendersu много гуй прог - это дельфовые?
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 29 января 2010 19:08 · Личное сообщение · #14 Rustem Качественный лодер: 1. Дельфе шлак. Токой и код которой он генерит. 2. Пермутирующий код(Mutation Independent). 3. Эмуляция секций, файлов и пр., тоесть загрузка средствами дефолтного нативного лодера. 4. Отсутствие изменений в секциях кода. 5. Сепшены не желательны. У вас это соблюдается ?
Rustem Ранг: 74.1 (постоянный), 34thx Активность: 0.03↘0 Статус: Участник	Создано: 29 января 2010 21:29 · Личное сообщение · #15 1. кода на делфи тут нет и не будет 2. Мутации нет 3. загрузка вручную без средств системы. т.е. парсю пе хидер и патчу пеб 4. секция кода не меняется 5. сеха нет
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 29 января 2010 22:12 · Личное сообщение · #16 Rustem 2. Очень плохо. Ограничивает область применения. В вирях не юзабельно 3. Отсутствует совместимость, не юзабельно.
Rustem Ранг: 74.1 (постоянный), 34thx Активность: 0.03↘0 Статус: Участник	Создано: 29 января 2010 23:02 · Личное сообщение · #17 Clerk Делалось не для вирей. Почему отсутствует совместимость? Спецификация ПЕ формата одна вроде
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 30 января 2010 01:46 · Личное сообщение · #18 Rustem > Делалось не для вирей. А для чего тогда ? > Почему отсутствует совместимость? Ваш модуль с лодером мало что связывает.
Rustem Ранг: 74.1 (постоянный), 34thx Активность: 0.03↘0 Статус: Участник	Создано: 30 января 2010 10:24 · Личное сообщение · #19 Clerk пишет: А для чего тогда ? Писалось для самообразования, сейчас использую для внедрения дллки в процесс, без CreateRemoteThread Clerk пишет: Ваш модуль с лодером мало что связывает. Похоже, про разные вещи говорим
sendersu Ранг: 512.7 (!), 360thx Активность: 0.27↘0.03 Статус: Модератор	Создано: 30 января 2010 11:32 · Личное сообщение · #20 Rustem пишет: sendersu много гуй прог - это дельфовые? Да (там в названии файлов я отобразил тип екзе, например - Delphi2007_GUI.txt, или тип пакера NE_exe.txt - ето NE exe (не PE) вроде редкость, но встречаецо)
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 30 января 2010 15:22 · Личное сообщение · #21 Rustem Не вижу связи CreateRemoteThread() с загрузкой модулей. > Похоже, про разные вещи говорим Точно, проекция модуля в сферическом вакууме
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 30 января 2010 15:34 · Поправил: mak · Личное сообщение · #22 Clerk напиши подробнее, какими параметрами должен обладать , как в производстве крипторов , наверняка в курсе о требованиях к крипторам и виде исполнения... очень интересно про лодер послушать --- п.с. по делу больше , по делу, конкретнее с пинками ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 30 января 2010 15:42 · Поправил: HiEndsoft · Личное сообщение · #23 Этож не лоадер(афтор топега в самом начале написал что это процесс в процессе). 100 лет назад видел подобное на VB (в аттаче вместе с сорцами) 89d5_30.01.2010_CRACKLAB.rU.tgz - RunPE.rar ----- продавец резиновых утёнков
Rustem Ранг: 74.1 (постоянный), 34thx Активность: 0.03↘0 Статус: Участник	Создано: 30 января 2010 17:03 · Личное сообщение · #24 Clerk Ну и как тогда называется по вашему, прога которая грузит ПЕ в себя? И что понимать под ПЕ лоадером?
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 30 января 2010 17:16 · Личное сообщение · #25 Rustem Функционал загружающий модуля. mak По моему ктото не видит разницы между длл и экзе.
vptrlx Ранг: 56.1 (постоянный), 9thx Активность: 0.04↘0 Статус: Участник	Создано: 31 января 2010 00:45 · Личное сообщение · #26 Я правда не понял в чём соль - но да, работает
Av0id Ранг: 516.1 (!), 39thx Активность: 0.28↘0 Статус: Участник	Создано: 31 января 2010 18:06 · Личное сообщение · #27 Rustem пишет: прога которая грузит ПЕ в себя не смотрел как это работает, но по словам похоже на запуск процесса из памяти
ToBad Ранг: 450.3 (мудрец), 13thx Активность: 0.2↘0 Статус: Участник	Создано: 01 февраля 2010 14:16 · Личное сообщение · #28 HiEndsoft - спасибо за VB пример с сорцами, теперь я понял о чём тут говорят... Это только у меня так с калькулятором случилось?
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 08 февраля 2010 18:43 · Личное сообщение · #29 Про калькулятор можно сказать одно: там с gdi проблема ----- продавец резиновых утёнков
Flint Ранг: 238.8 (наставник), 67thx Активность: 0.2↘0 Статус: Участник CyberHunter	Создано: 08 февраля 2010 19:16 · Поправил: Flint · Личное сообщение · #30 Имхо, не с gdi, size of image в PEB не пофиксили. Rustem пишет: Тут проблема есть, как эмулить TLS.... на дельфи прогах падает от этого, но и для более полной поддержки Вот как-то так: Code: PUSH DWORD PTR DS:[Start_address_of_raw_data] CALL TlsAlloc MOV DWORD PTR DS:[Address_of_index],EAX PUSH DWORD PTR DS:[Start_address_of_raw_data] PUSH EAX CALL TlsSetValue MOV DWORD PTR DS:[Address_of_index],0 ----- Nulla aetas ad discendum sera

. 1 . 2 . >>

Для печати