| Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+4 невидимых) |
 |
eXeL@B —› Софт, инструменты —› Потестите PE Loader |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 18 января 2010 10:06 · Личное сообщение · #1 Приветствую. Обновлял своего апи шпиона. Реализовал метод когда один процесс проецирует внутрь себя другой, настраивает импорт и передает управление на ентри поинт. До передачи управления на entry point можно сделать что то полезное, например внедрить длл Пока что экспериментальный лоадер, кому не в лом потестите на системах. Ограеничения не держит файлы с TLS Если сорцы нужны, пишите в личку  4c9b_17.01.2010_CRACKLAB.rU.tgz - peldrtst.zip
 |
|
|
Создано: 09 февраля 2010 07:48 · Поправил: Rustem · Личное сообщение · #2 Flint Калькулятор изображается не правильно не из-за size of image в PEB. По крайней мере в моем, все патчится, но проблема остается Code:
|
|
|
Создано: 26 сентября 2019 16:32 · Личное сообщение · #3 Господа, а тутор по написанию RunPE (доходчивый), кто ссыль кинет? |
|
|
Создано: 26 сентября 2019 16:45 · Личное сообщение · #4 AE А что там не понятно, это же первая самостоятельная работа на нт для тебя  Или может нужен запуск в обход защиты, тогда это совсем друга тема. ----- vx |
|
|
Создано: 26 сентября 2019 17:28 · Поправил: AE · Личное сообщение · #5 difexacaw да тут такое дело.... наверное под эту конкретную задачу придется решать иначе (проще), но, все равно, объясню: после добавления секции с кодом приложение стало крашится, при этом под отладчиком или, даже, под SpyStudio все работает нормально. Крашится вот так:  До моего джампа. Прошерстив форум - увидел пару тем в которых TLS (в которой, судя по всему, и есть моя проблема) усложняет задачу, того и спросил... Собственно про РЕ лоадер в нете есть достаточно, но не увидел нигде про TLS, а здешние темы меня "напугали". |
|
|
Создано: 26 сентября 2019 17:31 · Личное сообщение · #6 AE > https://vk.com/photo86304548_457239183 Что бы посмотреть скрин с ошибкой нужно зарегаться вконтактике ? ----- vx |
|
|
Создано: 26 сентября 2019 17:32 · Личное сообщение · #7 AE пишет: после добавления секции с кодом приложение стало крашится А права на эту секцию выставил ? У тебя ж на скрине ошибка доступа к памяти. При чем здесь TLS ? ----- ds |
|
|
Создано: 26 сентября 2019 17:35 · Поправил: AE · Личное сообщение · #8 difexacaw я поправил Добавлено спустя 11 минут DimitarSerg пишет: А права на эту секцию выставил ? У тебя ж на скрине ошибка доступа к памяти. При чем здесь TLS ? да: ERWC (E0000020) |
|
|
Создано: 26 сентября 2019 17:51 · Личное сообщение · #9 AE 33497 этот адрес исполнился ? Тоесть сюда было передано управление и возник #PF/NX или инструкция всё таки исполнилась и привела к ошибке ? Может сразу лучше семпл покажите, что бы не гадать. ----- vx |
|
|
Создано: 26 сентября 2019 18:13 · Поправил: AE · Личное сообщение · #10 difexacaw папка 1,5 ГБ весом... difexacaw пишет: 33497 этот адрес исполнился ? Тоесть сюда было передано управление и возник #PF/NX или инструкция всё таки исполнилась и привела к ошибке ? Там секция нулей.... Добавлено спустя 2 минуты Сорри, по адресу вообще ничего нет Добавлено спустя 2 минуты В смысле нет выделенной памяти по 33497 Добавлено спустя 10 минут DimitarSerg пишет: При чем здесь TLS ? Наверное, на самом деле, не при чем....попробую поэтапно вносить правки.... Добавлено спустя 26 минут DimitarSerg Спасибо за наведение на мысль! |
|
|
Создано: 26 сентября 2019 19:48 · Личное сообщение · #11 AE пишет: Господа, а тутор по написанию RunPE (доходчивый), кто ссыль кинет? RunPE или LoadPE? Для ехе или длл? Если по загрузке длл в память, то было много видеоуроков на ютубе. А ехе полноценно загрузить нельзя, увы. Разве что самое - самое простое. | Сообщение посчитали полезным: difexacaw |
|
|
Создано: 26 сентября 2019 20:24 · Личное сообщение · #12 morgot пишет: А ехе полноценно загрузить нельзя, увы. А дебугер что делает, не это разве? |
|
|
Создано: 26 сентября 2019 22:40 · Поправил: difexacaw · Личное сообщение · #13 AE Что то я не то посмотрел, это же смещение в нтдлл вашей версии не нашлось. Нужно отладчиком глянуть что по тому адресу. > А дебугер что делает, не это разве? Кстате верное замечание, экзе не запустить полноценно, тот же манифест и прочее. И повторно процесс нельзя запустить(те выполнить повторную инициализацию загрузчика), система разрешает это сделать один лишь раз. Отладчик ничего не загружает, он работает крайне просто - система устанавливает маркер при создании процесса если подключен отладчик, далее загрузчик его проверяет и если установлен останавливается на Int3, это подхватывает дебаггер. ----- vx |
|
|
Создано: 27 сентября 2019 10:35 · Личное сообщение · #14 difexacaw пишет: Нужно отладчиком глянуть что по тому адресу. Очень популярное место оказалось. Приходим туда с каждой второй функции.  Радует - где-то внутри моей ДЛЛ, потыкаю МБоксы - посмотрю где конкретно валится.... |
|
|
Создано: 27 сентября 2019 18:17 · Личное сообщение · #15 Загрузчик PE файлов из памяти пишеться, при большом желании, за пару дней, еще пару потратишь на тестирование. Советую перечитать все доки по PE формату. morgot пишет: А ехе полноценно загрузить нельзя, увы. Если очень захотеть, то можно. ----- xchg dword [eax], eax |
|
|
Создано: 27 сентября 2019 18:19 · Личное сообщение · #16 void Невозможно, так как соединение с csrss можно установить однократно. ----- vx |
|
|
Создано: 27 сентября 2019 18:38 · Личное сообщение · #17 AE пишет: В смысле нет выделенной памяти по 33497 Это смещение в модуле, который указан в краш-логе. Модуль ntdll.dll у тебя ж там difexacaw пишет: Кстате верное замечание, экзе не запустить полноценно, тот же манифест и прочее С манифестом можно провести некоторые манипуляции, перед загрузкой образа вставить его в файл. В голову приходит, кстати, и способ подмены секции с манифестом после маппинга, но не пробовал пока. difexacaw пишет: --> Тут <-- вашей версии не нашлось. Версия модуля с ошибкой: 6.1.7601.24475 Windows 7 SP1 Какая-то заплатка от 16 мая на ntdll ----- IZ.RU |
|
|
Создано: 27 сентября 2019 19:30 · Личное сообщение · #18 DenCoder На exploit.in когда то давно этими извратами занимались, так обычно крипты стартуют, но не полноценно, вылазят кучи косяков. Что бы произвольный модуль запустить необходимо загрузчику до его запуска дать дисковую проекцию, а не распаковывать налету. Если попытаться сбросить загрузчик, полностью загрузив исходную секцию данных нтдлл это приведёт к падению - после повторной попытки соединения с csrss он запрос отклонит, STATUS_PORT_CONNECTION_REFUSED и слетит всё. ----- vx | Сообщение посчитали полезным: morgot |
|
|
Создано: 27 сентября 2019 20:38 · Личное сообщение · #19 void Не буду спорить, но лично я не встречал таких РЕ-загрузчиков, и Инди вот тоже говорит, что это сложно. Самое простое загрузить - да, такого полно. Но, если надо - загрузить файл без релоков? - загрузить файл с seh? - загрузить с tls? Если взять крипторы малвари (а обычно, в 90% такой софт нужен там), то почти никто из них не поддерживает сех или там какой-то дельфийский бинарник с этим вот всем VCL. |
|
|
Создано: 27 сентября 2019 21:33 · Личное сообщение · #20 morgot пишет: Не буду спорить, но лично я не встречал таких РЕ-загрузчиков В паблике их естественно нет. morgot пишет: и Инди вот тоже говорит, что это сложно Чтобы понять инде надо закинуться чем-то запрещенным, а у меня такого нема. morgot пишет: - загрузить файл без релоков? - загрузить файл с seh? - загрузить с tls? Да я же говорю, все решаемо, просто не все хотят заморачиваться над этим. ----- xchg dword [eax], eax |
| << . 1 . 2 . |
|
eXeL@B —› Софт, инструменты —› Потестите PE Loader |
Для печати