нужен генератор лоадеров под 64-x битные программы

Сейчас на форуме: -Sanchez-, Alf (+4 невидимых)

. 1 . 2 . >>

Посл.ответ	Сообщение
andrey_brest Ранг: 1.4 (гость) Активность: 0=0 Статус: Участник	Создано: 05 декабря 2015 21:05 · Личное сообщение · #1 В поиске генераторы лоадеров под 64-x битные программы.

igorca Ранг: 45.7 (посетитель), 40thx Активность: 0.03↘0 Статус: Участник	Создано: 05 декабря 2015 21:27 · Личное сообщение · #2 А в гугле вас уже забанили?Чем dup не устраивает?
Kuzya69 Ранг: 30.1 (посетитель) Активность: 0.07↘0 Статус: Участник	Создано: 06 декабря 2015 12:13 · Личное сообщение · #3 Во, а dup разве 64-х битный? Чего-то я первый раз слышу об этом.
unknownproject Ранг: 95.1 (постоянный), 247thx Активность: 0.26↘0.01 Статус: Участник	Создано: 06 декабря 2015 13:11 · Поправил: unknownproject · Личное сообщение · #4 https://exelab.ru/f/action=vthread&forum=6&topic=17825 WriteProcessMemory function ----- TEST YOUR MIGHT
igorca Ранг: 45.7 (посетитель), 40thx Активность: 0.03↘0 Статус: Участник	Создано: 07 декабря 2015 00:04 · Личное сообщение · #5 Kuzya69 пишет: Во, а dup разве 64-х битный Нет,x32,что не мешает ему создавать патчи и лоадеры для x64 программKuzya69 пишет: Чего-то я первый раз слышу об этом. Читайте больше
-=AkaBOSS=- Ранг: 150.3 (ветеран), 175thx Активность: 0.16↘0.07 Статус: Участник	Создано: 07 декабря 2015 01:19 · Личное сообщение · #6 igorca пишет: не мешает ему создавать патчи и лоадеры для x64 программ патчи - возможно, а вот с лоадерами тяжко, так как 32битная версия WriteProcessMemory принимает, как ни странно, только 32битный адрес участка памяти - и это ограничивает доступное для правки пространство первыми 4мя гигабайтами, что далеко не всегда является приемлимым вариантом в х64 процессах.
Kuzya69 Ранг: 30.1 (посетитель) Активность: 0.07↘0 Статус: Участник	Создано: 07 декабря 2015 02:15 · Личное сообщение · #7 А исходники дуп-а никто не встречал? Может в таком случае перекомпилить его под 64-х битную WriteProcessMemory ?
dosprog Ранг: 431.7 (мудрец), 391thx Активность: 0.73↘0.32 Статус: Участник	Создано: 07 декабря 2015 02:22 · Поправил: dosprog · Личное сообщение · #8 Kuzya69 пишет: А исходники дуп-а никто не встречал? Зачем нужны исходники dup'а? Там что, высшая математика, что ли? Понадобится лоадер под х64 - брать лоадер под х32 и править. Любой. Віше дали ссылку на тему, там есть х32 пример от PE_KILL'а.
Kuzya69 Ранг: 30.1 (посетитель) Активность: 0.07↘0 Статус: Участник	Создано: 07 декабря 2015 02:50 · Поправил: Kuzya69 · Личное сообщение · #9 И где тут обращение по 64-х битному адресу? Если размерность DWord. Code: ExeBase: DWord; ............... WriteProcessMemory(pi.hProcess, Pointer(ExeBase + $C9D8), @Data, 4, Data) ............... Например у меня надо изменить байт по адресу $00000001401ab8e0. (Где ExeBase=$0000000140000000 и смещение в файле = 1ab8e0 ). И как это воспримет этот лоадер?
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 07 декабря 2015 13:29 · Личное сообщение · #10 Kuzya69 ну так поправить руками знаний не хватает? интересней же самому. ----- [nice coder and reverser]
Kuzya69 Ранг: 30.1 (посетитель) Активность: 0.07↘0 Статус: Участник	Создано: 07 декабря 2015 16:39 · Личное сообщение · #11 Hellspawn Действительно, не хватает знаний. Намекни поближе к истине, плиз. Не может же быть так просто (Dword --> Cardinal) ?
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 07 декабря 2015 17:01 · Личное сообщение · #12 Kuzya69 в delphi 7 уже есть вроде UIN64 и INT64 cardinal это тот же dword ----- [nice coder and reverser]
Kuzya69 Ранг: 30.1 (посетитель) Активность: 0.07↘0 Статус: Участник	Создано: 07 декабря 2015 17:06 · Поправил: Kuzya69 · Личное сообщение · #13 И этого хватит? Ф-ция WriteProcessMemory отработает как надо в 64-х битной системе, если лоадерная ф-ция поиска базы найдет правильный адрес? Извиняюсь, что так надоедаю. Просто Win7 (64-х битная), только на работе. Дома все 32-х битное. Вот и хочу подготовиться заранее. Чтоб на работе не терять время.
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 07 декабря 2015 17:13 · Личное сообщение · #14 Kuzya69 вроде бы ZwWow64ReadVirtualMemory64 и ZwWow64WriteVirtualMemory64 нужно юзать. ----- [nice coder and reverser] \| Сообщение посчитали полезным: Kuzya69
Kuzya69 Ранг: 30.1 (посетитель) Активность: 0.07↘0 Статус: Участник	Создано: 07 декабря 2015 21:32 · Поправил: Kuzya69 · Личное сообщение · #15 Ну вот и первый затык, на чужом компе проверили. Скомпилировал на 32-х битной Делфи. А проверял скомпиленный лоадер на 64-х битной Win7, прога-жертва тоже 64-х битная. API GetSystenInfo неверно определяет границы приложения в памяти. Когда приложение 32-х битное, все правильно, а когда 64-х битное, то границы определяются как для 32-х битного приложения. Следовательно никакой базы приложения потом и не находится. Функцию GetNativeSystemInfo, мой Делфи вообще не признает. Как быть?
dosprog Ранг: 431.7 (мудрец), 391thx Активность: 0.73↘0.32 Статус: Участник	Создано: 07 декабря 2015 21:48 · Личное сообщение · #16 Kuzya69 пишет: Как быть? --> Link <--
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 07 декабря 2015 22:46 · Личное сообщение · #17 Что мешает собрать в х64 или выкинуть дельфи и использовать язык, который в состоянии адекватно работать со всеми апи? \| Сообщение посчитали полезным: elch
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 07 декабря 2015 23:13 · Личное сообщение · #18 Kuzya69 базу можно получить и другими способами))) или собрать сразу в 64 постввив XE ----- [nice coder and reverser]
Kuzya69 Ранг: 30.1 (посетитель) Активность: 0.07↘0 Статус: Участник	Создано: 08 декабря 2015 01:57 · Поправил: Kuzya69 · Личное сообщение · #19 А если из PE-заголовка взять базу, она всегда будет соответствовать действительности ? Или в 64-битках это не правило? Чета, у меня GetNativeSystemInfo еще большую ересь показывает. Archer Просто из всех языков, которых я знаю плохо, Дельфи я знаю лучше.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 08 декабря 2015 12:12 · Личное сообщение · #20 Что в х86, что в х64 реальная база может не соответствовать базе из хедера. !Гугл таблица релокаций.
Kuzya69 Ранг: 30.1 (посетитель) Активность: 0.07↘0 Статус: Участник	Создано: 08 декабря 2015 13:11 · Личное сообщение · #21 А тогда какой способ поиска ImageBase будет наиболее верным для 64-х битного приложения запущенного в suspend режиме? Имеется ввиду, что лоадер будет 32-х битным. Я хочу сделать лоадер так сказать "не зависимым от разрядности". Потому-что прорамма-жертва есть и 32-х и 64-х битная.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 08 декабря 2015 13:31 · Личное сообщение · #22 Наиболее верного не будет. Будет недокументированный костыль. Сделай 2 нормальных файла под разные архитектуры и на ходу дропай и запускай просто нужный, как это process explorer делает.
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 08 декабря 2015 14:30 · Личное сообщение · #23 Kuzya69 можно вот так, но код только на си, выдрал из проекта Code: PROCESS_BASIC_INFORMATION_WOW64 pbi; ZeroMemory(&pbi, sizeof(pbi)); if (!NT_SUCCESS(NtQueryInfoProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), NULL))) return FALSE; static DWORD pebSize = 0x40; BYTE buf[0x1000] = {0}; if (!NT_SUCCESS(NtWow64ReadVirtualMemory64(hProcess, pbi.PebBaseAddress, buf, pebSize, NULL))) return FALSE; PPEB64 ppeb = (PPEB64)buf; *memStart = ppeb->ImageBaseAddress; <-- base ----- [nice coder and reverser]
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 08 декабря 2015 15:12 · Личное сообщение · #24 мне всегда было интересно, откуда Archer и Hellspawn обладают специфичными знаниями Kuzya69 --> Link <-- - поройся. в плане описания функций и вообще ----- От многой мудрости много скорби, и умножающий знание умножает печаль
Kuzya69 Ранг: 30.1 (посетитель) Активность: 0.07↘0 Статус: Участник	Создано: 08 декабря 2015 17:35 · Поправил: Kuzya69 · Личное сообщение · #25 Словами можно объяснить, что делает этот оператор? Code: PPEB64 ppeb = (PPEB64)buf; Чтоб попробовать его на Делфи перенести. Прошу пардона, но пытаюсь врубиться в код от Hellspawn. Про указатели и разименование вроде понял (последний оператор).
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 08 декабря 2015 17:43 · Личное сообщение · #26 Kuzya69 пишет: Словами можно объяснить этот оператор? на дэлфи это будет примерно так Code: type TPEB64 = packed record .. end; var ppeb: TPEB64; begin copymemory(@ppeb,@buf,sizeof(ppeb)); end;
carpucio Ранг: 3.6 (гость) Активность: 0=0 Статус: Участник	Создано: 08 декабря 2015 20:31 · Поправил: carpucio · Личное сообщение · #27 дэльфэ гавно, кардиналы, пакед рекорды, костыли под апи, мракобесие. в sdk все хидеры изкаробки идут под 64бит без наживания дополнительного геммороя аля дэльфэ
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 08 декабря 2015 20:50 · Личное сообщение · #28 Не будет там copymemory, это тупо присваивание указателя. Может стоит уже почитать матчасть, прежде чем вываливать сюда вопросы по основам?
tihiy_grom Ранг: 441.3 (мудрец), 297thx Активность: 0.41↘0.04 Статус: Участник	Создано: 08 декабря 2015 23:34 · Личное сообщение · #29 Archer пишет: Не будет там copymemory, это тупо присваивание указателя. гы-гы сколько пишу в дэлфи, ни разу не знал что так можно делать Code: type TPEB64 = packed record .. end; var ppeb: ^TPEB64; begin ppeb:=@buf; memStart:=ppeb^.ImageBaseAddress; end; спасибо
dosprog Ранг: 431.7 (мудрец), 391thx Активность: 0.73↘0.32 Статус: Участник	Создано: 09 декабря 2015 00:16 · Поправил: dosprog · Личное сообщение · #30 )) Кстати, жутким костылём по Си-шным понятиям считается вот это (присваивание без приведения типа): Code: ppeb:=@buf; - А в делфи ничего, прокатывает.

. 1 . 2 . >>

Для печати