Есть loader (отдельный exe) который запускает софтину, хукает её в памяти а потом инжектит то что надо.

Что можно сделать чтобы переделать загрузчик в dll и чтобы она подцеплялась автоматом при запуске проги ? (понимаю вроде что надо ковырять секцию импорта софтины) если нет направьте на верный путь.

| Сообщение посчитали полезным:

гугл: "Injection NtMapViewOfSection APC" первые результаты
Там же и будет http://www.wasm.ru/article.php?article=injected_evil итд.
Сразу предупрежу АВ твой лоадер на 90% будет ловить как TrojanInjector или что-то в том роде.

| Сообщение посчитали полезным:

V0ldemAr
эм ну щас же не ловит в exe, хочеш сказать когда перепишу в длл начнет ?
и я подумываю воспользоватся IIDKing

| Сообщение посчитали полезным:

Makroz пишет:
Что можно сделать чтобы переделать загрузчик в dll и чтобы она подцеплялась автоматом при запуске проги ?
можно заюзать свою lpk.dll , но для этого в настройках системы надо будет включить поддержку китайских иегорлифов

| Сообщение посчитали полезным:

Все зависит от многих факторов, язик(С, Дельфи, ВБ), структура файла, последовательность АПИ итд.

| Сообщение посчитали полезным:

tihiy_grom
не в вин7 ее еще в исключения добавлять
V0ldemAr
мне надо именно чтобы подсказали как свою длл подцеплять при запуске проги

| Сообщение посчитали полезным:

Добавь нужную библиотеку в импорт ехе/любой используемой им длл, либо дорисуй на точке входа код с динамической её загрузкой через LoadLibrary.

| Сообщение посчитали полезным:

Archer
хм добавить к имеющимся это уже интерестно

| Сообщение посчитали полезным:

Через CFF очень просто добавить свою либу в ехе/длл.



| Сообщение посчитали полезным:

Makroz

Если ты можешь модифицировать свою прогу делай как Archer написал. Банально импорт прилепить можно CFF Explorer-ом. только секцию .rdata надо потом на WRITE сделать. Или изменить точку входа и добавить секцию в которой будет код загрузки твоей длл и переходом на OEP.

Еще можно добавить свою длл в AppInit_DLLs если твоя прога использует USER32.DLL потом проверять у себя в длл в который процес загрузилась длл.

ПС: Пока писал Airenikus уже и скрин сделал ;)

| Сообщение посчитали полезным:

Airenikus
V0ldemAr
спасибо за инфу буду пробовать

| Сообщение посчитали полезным:

В догонку

http://ntcore.com/files/inject2exe.htm
http://ntcore.com/files/inject2exe/peviewer.zip
http://ntcore.com/files/inject2exe/pemaker1.zip
http://ntcore.com/files/inject2exe/pemaker2.zip
http://ntcore.com/files/inject2exe/pemaker3.zip
http://ntcore.com/files/inject2exe/pemaker4.zip
http://ntcore.com/files/inject2exe/pemaker5.zip
http://ntcore.com/files/inject2exe/test1.zip

http://ntcore.com/files/inject2it.htm
http://ntcore.com/files/inject2it/itview.zip
http://ntcore.com/files/inject2it/pemaker6.zip
http://ntcore.com/files/inject2it/pemaker7.zip
http://ntcore.com/files/inject2it/zimport.zip

http://www.ntcore.com/Files/nthookengine.htm
http://www.ntcore.com/Files/nthookengine/nthookengine.zip

http://www.ntcore.com/dynlogger.php
http://www.ntcore.com/files/DynLogger_x86.zip
http://www.ntcore.com/files/DynLogger_x64.zip

| Сообщение посчитали полезным: