Скажите, пожалуйста, Как можно создать loader для dll с помощью dup 2.22

| Сообщение посчитали полезным:

по хорошему в dup нет механизма для сабжа, писать свой миниотладчик, ловить момент загрузки dll и патчить что нужно...

| Сообщение посчитали полезным: SReg

Если DllMain не надо трогать, то можно и хуком на LoadLibrary

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Av0id пишет:
по хорошему в dup нет механизма для сабжа, писать свой миниотладчик, ловить момент загрузки dll и патчить что нужно...
PE_Kill пишет:
Если DllMain не надо трогать, то можно и хуком на LoadLibrary

Можете ли объяснить мне более подробно

| Сообщение посчитали полезным:

AKAB пишет:
Можете ли объяснить мне более подробно
--> Link <--

| Сообщение посчитали полезным:

Av0id пишет:
писать свой миниотладчик
не понял, а это почему так обязательно?

Av0id пишет:
ловить момент загрузки dll
Загрузки какой dll, если нет лоадера? Любой из импорта?

Почитал про dup - похоже там почти всё, что надо, только ничего связанного с загрузкой dll. Мне такие утилиты никогда не нужны были. Но если уж пользоваться отладчиком, то подгрузить dll можно перехватив любой вызов KiUserCallbackDispatcher, изменить апи-нумер на ___ClientLoadLibrary и добавить свой стек с аргументами для неё - буфером с путём до dll.

-----
IZ.RU

| Сообщение посчитали полезным:

не обязательно, никто и не писал что обязательно

если есть dll и надо ее пропатчить, значит есть и процесс который ее загружает, т.е. лоадер, я имел в виду что-то вроде этого (правда код там жуткий, но понять технику и переписать можно)

| Сообщение посчитали полезным:

ага

06.08.2011 21:04:26 Фильтр HTTP файл http://www.accessroot.com/arteam/site/request.php?179 вероятно модифицированный Win32/Agent.MNBQLUH троянская программа соединение прервано - изолирован

Зараза сидит в Архив\Sources\Proxy_Dll_Protected_7\bin\Client.exe


Av0id пишет:
правда код там жуткий
Да к тому же dll валится со STACK_OVERFLOW на загрузке. А вообще еле собрал...

-----
IZ.RU

| Сообщение посчитали полезным:

Я dll например патчил через подгрузку своей длл, через Appinit Dll или как вариант можно подгрузить через lpk....

| Сообщение посчитали полезным:

Appinit Dll не всегда работает, особенно если стоит антишпион/антивирус.

-----
IZ.RU

| Сообщение посчитали полезным:

AKAB - если нужно пропатчить упакованую dll запустив exe через лоадер, то простейший способ в дуп, указать virtualaddress загружаемой через exe dll в offset patch.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

Kindly пишет:
указать virtualaddress загружаемой через exe dll
как он его получит то?

| Сообщение посчитали полезным:

SReg пишет:
как он его получит то?
распакует лишь бы как хотя бы чтоб в отладчик загрузить можно было и по имеджу вставит нужные оффсеты

вот тебе живой пример:
прога - http://cloudfront.systweak.com/sysrc_trial.exe
лоадер, патчущий армовую dll в памяти
http://rghost.ru/17100181

я думаю, ТС нужно было примерно это. другое дело инлайн патч прописать в exe или dll, но это уже другой вопрос.

-----
Array[Login..Logout] of Life

| Сообщение посчитали полезным:

DenCoder
> подгрузить dll можно перехватив любой вызов KiUserCallbackDispatcher, изменить апи-нумер на ___ClientLoadLibrary и добавить свой стек с аргументами для неё - буфером с путём до dll.
Не нужно ничего перехватывать. Это apfn-колбек из ядра, используемый для подгрузки в процесс фильтров. Он дёргается как вектор напрямую или через регистрацию фильтра.

> через Appinit Dll
Локально трудно реализуется. Нужно искать описатель директории.

| Сообщение посчитали полезным:

bowrouco пишет:
Локально трудно реализуется. Нужно искать описатель директории.
а поподробней,почему трудно реализуется?

| Сообщение посчитали полезным:

Загрузчик открывает директорию(\KnownDlls), описатель которой в LdrpKnownDllObjectDirectory. Создание обьекта в этой директории палится проактивкой. Необходимо создать свою директорию и поместить её описатель в эту переменную(закрыть/создать не желательно, так как в старших версиях системы может быть рандомизация). Поиск переменной в принципе прост, но возможно придётся обойти некоторые проверки(точно не помню уже).

| Сообщение посчитали полезным:

bowrouco пишет:
Не нужно ничего перехватывать. Это apfn-колбек из ядра, используемый для подгрузки в процесс фильтров. Он дёргается как вектор напрямую или через регистрацию фильтра.
Ну и что? Хотите сказать, что даже после наступления определённого события я не смогу таким способом dll подгрузить? )

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder
Ваш пост совершенно бессмысленный. Что за наступление события ?
Ну дёргается какойто колбек из apfn, причём тут загрузка модуля ??

| Сообщение посчитали полезным:

bowrouco

На неделе проверю

1) дёргается колбек, подменяем нумер апи
2) добавляем в стек параметры для ___ClientLoadLibrary
3) перехватываем конец KiUserCallbackDispatcher перед int 2B
4) даём выполнить нужный колбек

Два условия
1) Процесс GUI
2) Образ без специфических TLS-колбеков

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder
1) дёргается колбек, подменяем нумер апи

Что за колбек, как дёргаем и для чего ?

| Сообщение посчитали полезным:

1) перехватываем KiUserCallbackDispatcher, подменяем нумер апи
2) добавляем в стек параметры для ___ClientLoadLibrary - путь до dll
3) перехватываем конец KiUserCallbackDispatcher перед int 2B
4) даём выполнить нужный колбек
5) убираем хуки

Два условия
1) Процесс GUI
2) Образ без специфических TLS-колбеков

под отладичком можно без труда проверить, чем завтра и займусь... Если окажусь не прав, должен to bowrouco ящик пива

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder
1) перехватываем KiUserCallbackDispatcher, подменяем нумер апи

Для чего ?
Вектор можно через тотже колл дёрнуть.

Какойто вы бред несёте. Этот код есчо на виртеке был описан года два назад http://indy-vx.narod.ru/Bin/PfnLdr.zip

| Сообщение посчитали полезным:

ого, хакеры. а подменить dll на прозрачную, скопировав имена из импорта и соответствующим образом редиректя коллы, не проще?

| Сообщение посчитали полезным:

Ладно, вариантов много. Но самый простой, если под отладчиком, - перехватываем LoadLibraryA/W. Надёжнее - из-под некривого загрузчика.

Кстати, bowrouco, о TLS callback: запатчу я раздел TLS и всё ))) - тривиально. Тот, кто запускает - тот и делает первый ход.

vptrlx, такую dll называют прокладкой. Проще там, где инструмент готов ;)

-----
IZ.RU

| Сообщение посчитали полезным:

что-то мне кажется что вы в какие-то нереальные дебри полезли, есть простая задача, есть простое решение, clerk вы еще предложите патчи писать в r0

| Сообщение посчитали полезным:

Clerk кроме r0 походу другого кольца и не видел. Сочувствую.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Про кернелмод и речи небыло. Просто тут упомянули один хорошо знакомый механизм.

А по сабжу я и задачу не понял , что такое dup 2.22 ?
Из памяти чтоли загрузить модуль нужно ?

| Сообщение посчитали полезным:

dup - это универсальный патчер файлов. Задача - пропатчить библиотеку налету в памяти во время ее загрузки. Экспиренса у ТС для этого нет и он спрашивает можно ли этим универсальным патчером такое сделать. Собственно ответ: нет, а дальше уже просто флуд пошел.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Статический импорт добавить в виде своей длл или заинфектить модуль, так не подходит ?

Иначе очень похоже на криптор получается

| Сообщение посчитали полезным:

Мелкий шелл-код дупом, и никаких проблем

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: