Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+4 невидимых)

 eXeL@B —› Софт, инструменты —› Потестите PE Loader
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 74.1 (постоянный), 34thx
Активность: 0.030
Статус: Участник

Создано: 18 января 2010 10:06
· Личное сообщение · #1

Приветствую.

Обновлял своего апи шпиона. Реализовал метод когда один процесс проецирует внутрь себя другой, настраивает импорт и передает управление на ентри поинт.
До передачи управления на entry point можно сделать что то полезное, например внедрить длл

Пока что экспериментальный лоадер, кому не в лом потестите на системах.
Ограеничения не держит файлы с TLS

Если сорцы нужны, пишите в личку


4c9b_17.01.2010_CRACKLAB.rU.tgz - peldrtst.zip



Ранг: 74.1 (постоянный), 34thx
Активность: 0.030
Статус: Участник

Создано: 09 февраля 2010 07:48 · Поправил: Rustem
· Личное сообщение · #2

Flint
Калькулятор изображается не правильно не из-за size of image в PEB.
По крайней мере в моем, все патчится, но проблема остается

Code:
  1.          //Change LDR_MODULE
  2.          LDR_MODULE* pModule=(LDR_MODULE*)pKPEB->Ldr->InLoadOrderModuleList.Flink;
  3.          pModule->BaseAddress = BaseAddr;
  4.          pModule->EntryPoint = BaseAddr + ImageOptionalHeader.AddressOfEntryPoint;
  5.          pModule->SizeOfImage=ImageOptionalHeader.SizeOfImage;
  6.          pModule->TimeDateStamp=ImageFileHeader.TimeDateStamp;




Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 26 сентября 2019 16:32
· Личное сообщение · #3

Господа, а тутор по написанию RunPE (доходчивый), кто ссыль кинет?




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 26 сентября 2019 16:45
· Личное сообщение · #4

AE

А что там не понятно, это же первая самостоятельная работа на нт для тебя

Или может нужен запуск в обход защиты, тогда это совсем друга тема.

-----
vx




Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 26 сентября 2019 17:28 · Поправил: AE
· Личное сообщение · #5

difexacaw да тут такое дело.... наверное под эту конкретную задачу придется решать иначе (проще), но, все равно, объясню:
после добавления секции с кодом приложение стало крашится, при этом под отладчиком или, даже, под SpyStudio все работает нормально. Крашится вот так:

До моего джампа.
Прошерстив форум - увидел пару тем в которых TLS (в которой, судя по всему, и есть моя проблема) усложняет задачу, того и спросил...
Собственно про РЕ лоадер в нете есть достаточно, но не увидел нигде про TLS, а здешние темы меня "напугали".




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 26 сентября 2019 17:31
· Личное сообщение · #6

AE

> https://vk.com/photo86304548_457239183

Что бы посмотреть скрин с ошибкой нужно зарегаться вконтактике ?

-----
vx





Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 26 сентября 2019 17:32
· Личное сообщение · #7

AE пишет:
после добавления секции с кодом приложение стало крашится

А права на эту секцию выставил ?

У тебя ж на скрине ошибка доступа к памяти. При чем здесь TLS ?

-----
ds




Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 26 сентября 2019 17:35 · Поправил: AE
· Личное сообщение · #8

difexacaw
я поправил

Добавлено спустя 11 минут
DimitarSerg пишет:
А права на эту секцию выставил ?

У тебя ж на скрине ошибка доступа к памяти. При чем здесь TLS ?

да: ERWC (E0000020)




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 26 сентября 2019 17:51
· Личное сообщение · #9

AE

33497 этот адрес исполнился ?
Тоесть сюда было передано управление и возник #PF/NX или инструкция всё таки исполнилась и привела к ошибке ?

Может сразу лучше семпл покажите, что бы не гадать.

-----
vx




Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 26 сентября 2019 18:13 · Поправил: AE
· Личное сообщение · #10

difexacaw
папка 1,5 ГБ весом...

difexacaw пишет:
33497 этот адрес исполнился ?
Тоесть сюда было передано управление и возник #PF/NX или инструкция всё таки исполнилась и привела к ошибке ?

Там секция нулей....

Добавлено спустя 2 минуты
Сорри, по адресу вообще ничего нет

Добавлено спустя 2 минуты
В смысле нет выделенной памяти по 33497

Добавлено спустя 10 минут
DimitarSerg пишет:
При чем здесь TLS ?

Наверное, на самом деле, не при чем....попробую поэтапно вносить правки....

Добавлено спустя 26 минут
DimitarSerg
Спасибо за наведение на мысль!




Ранг: 69.9 (постоянный), 82thx
Активность: 0.140.73
Статус: Участник

Создано: 26 сентября 2019 19:48
· Личное сообщение · #11

AE пишет:
Господа, а тутор по написанию RunPE (доходчивый), кто ссыль кинет?

RunPE или LoadPE? Для ехе или длл?
Если по загрузке длл в память, то было много видеоуроков на ютубе. А ехе полноценно загрузить нельзя, увы. Разве что самое - самое простое.

| Сообщение посчитали полезным: difexacaw

Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 26 сентября 2019 20:24
· Личное сообщение · #12

morgot пишет:
А ехе полноценно загрузить нельзя, увы.

А дебугер что делает, не это разве?




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 26 сентября 2019 22:40 · Поправил: difexacaw
· Личное сообщение · #13

AE

Что то я не то посмотрел, это же смещение в нтдлл

--> Тут <-- вашей версии не нашлось.

Нужно отладчиком глянуть что по тому адресу.

> А дебугер что делает, не это разве?

Кстате верное замечание, экзе не запустить полноценно, тот же манифест и прочее. И повторно процесс нельзя запустить(те выполнить повторную инициализацию загрузчика), система разрешает это сделать один лишь раз.
Отладчик ничего не загружает, он работает крайне просто - система устанавливает маркер при создании процесса если подключен отладчик, далее загрузчик его проверяет и если установлен останавливается на Int3, это подхватывает дебаггер.

-----
vx




Ранг: 10.8 (новичок), 4thx
Активность: 0.17=0.17
Статус: Участник

Создано: 27 сентября 2019 10:35
· Личное сообщение · #14

difexacaw пишет:
Нужно отладчиком глянуть что по тому адресу.


Очень популярное место оказалось. Приходим туда с каждой второй функции.

Радует - где-то внутри моей ДЛЛ, потыкаю МБоксы - посмотрю где конкретно валится....



Ранг: 221.3 (наставник), 135thx
Активность: 0.190.07
Статус: Участник

Создано: 27 сентября 2019 18:17
· Личное сообщение · #15

Загрузчик PE файлов из памяти пишеться, при большом желании, за пару дней, еще пару потратишь на тестирование.
Советую перечитать все доки по PE формату.
morgot пишет:
А ехе полноценно загрузить нельзя, увы.

Если очень захотеть, то можно.

-----
xchg dword [eax], eax





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 27 сентября 2019 18:19
· Личное сообщение · #16

void

Невозможно, так как соединение с csrss можно установить однократно.

-----
vx





Ранг: 324.3 (мудрец), 221thx
Активность: 0.480.37
Статус: Участник

Создано: 27 сентября 2019 18:38
· Личное сообщение · #17

AE пишет:
В смысле нет выделенной памяти по 33497

Это смещение в модуле, который указан в краш-логе. Модуль ntdll.dll у тебя ж там

difexacaw пишет:
Кстате верное замечание, экзе не запустить полноценно, тот же манифест и прочее

С манифестом можно провести некоторые манипуляции, перед загрузкой образа вставить его в файл. В голову приходит, кстати, и способ подмены секции с манифестом после маппинга, но не пробовал пока.

difexacaw пишет:
--> Тут <-- вашей версии не нашлось.

Версия модуля с ошибкой: 6.1.7601.24475
Windows 7 SP1
Какая-то заплатка от 16 мая на ntdll

-----
IZ.RU





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 27 сентября 2019 19:30
· Личное сообщение · #18

DenCoder

На exploit.in когда то давно этими извратами занимались, так обычно крипты стартуют, но не полноценно, вылазят кучи косяков. Что бы произвольный модуль запустить необходимо загрузчику до его запуска дать дисковую проекцию, а не распаковывать налету. Если попытаться сбросить загрузчик, полностью загрузив исходную секцию данных нтдлл это приведёт к падению - после повторной попытки соединения с csrss он запрос отклонит, STATUS_PORT_CONNECTION_REFUSED и слетит всё.

-----
vx


| Сообщение посчитали полезным: morgot


Ранг: 69.9 (постоянный), 82thx
Активность: 0.140.73
Статус: Участник

Создано: 27 сентября 2019 20:38
· Личное сообщение · #19

void
Не буду спорить, но лично я не встречал таких РЕ-загрузчиков, и Инди вот тоже говорит, что это сложно. Самое простое загрузить - да, такого полно. Но, если надо
- загрузить файл без релоков?
- загрузить файл с seh?
- загрузить с tls?

Если взять крипторы малвари (а обычно, в 90% такой софт нужен там), то почти никто из них не поддерживает сех или там какой-то дельфийский бинарник с этим вот всем VCL.



Ранг: 221.3 (наставник), 135thx
Активность: 0.190.07
Статус: Участник

Создано: 27 сентября 2019 21:33
· Личное сообщение · #20

morgot пишет:
Не буду спорить, но лично я не встречал таких РЕ-загрузчиков

В паблике их естественно нет.
morgot пишет:
и Инди вот тоже говорит, что это сложно

Чтобы понять инде надо закинуться чем-то запрещенным, а у меня такого нема.
morgot пишет:
- загрузить файл без релоков?
- загрузить файл с seh?
- загрузить с tls?

Да я же говорю, все решаемо, просто не все хотят заморачиваться над этим.

-----
xchg dword [eax], eax



<< . 1 . 2 .
 eXeL@B —› Софт, инструменты —› Потестите PE Loader
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати