Скажите, пожалуйста, Как можно создать loader для dll с помощью dup 2.22

| Сообщение посчитали полезным:

bowrouco, Вы опять о своём?
Новый ник Вас совершенно меняет. При чём здесь криптор? )
Обычные условия, своя система, никто не мешает делать с ней, что вздумается ))
Хотя хорошо, что Ваше стремление к универсальности вывело на такой уровень. Должен признать, что не все могут этим похвастаться. )

PE_Kill пишет:
Задача - пропатчить библиотеку налету в памяти во время ее загрузки
А ведь задача изначально не так звучала. )) AKAB, помогли тебе, нет?

PE_Kill пишет:
можно ли этим универсальным патчером такое сделать. Собственно ответ: нет
Ну понятно. Но если такими короткими будут все ответы без вариантов?

Вернёмся к сабжу
Изначальная задача - задача 1
AKAB пишет:
Скажите, пожалуйста, Как можно создать loader для dll
Лично я понял это буквально. С помощью dup никак! Универсальный загрузчик - хороший отладчик, например OllyDbg:


Неявный вариант задачи 1 -> Задача 2 - пропатчить библиотеку налету в памяти во время ее загрузки. Видимо, в ходе переписки ТС по ПМ с AoRC(Ace of Reversing and Cracking ) выяснилось что реально надо.
В ollydbg Options->Events->Pause on new module->OK->F9 до остановки на DllEntryPoint нужной dll (кстати, не то же самое, что DllMain). Патчим как надо, отпускаем.

Если какая-то защита, то это уже другой вопрос!

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder
Если система своя мне например провайдера верификации хватает для подобных целей. Компилим длл, регаем в реестре и она загружается в процесс есчо до загрузки kernel32(и там есть официальные колбеки на загрузку модулей). Это далеко до длл нотификаций, тлс-ов, ep etc. И не нужны в таком случае никакие надстройки другие, инфекты и прочие извраты.

> Хотя хорошо, что Ваше стремление к универсальности вывело на такой уровень. Должен признать, что не все могут этим похвастаться.
Умник ёпта

| Сообщение посчитали полезным: DenCoder, yanus0

провайдер верификации - это lsass что ли?

-----
IZ.RU

| Сообщение посчитали полезным:

Про свою систему ТС как раз и не говорил.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Kindly пишет:
вот тебе живой пример:
прога - http://cloudfront.systweak.com/sysrc_trial.exe
лоадер, патчущий армовую dll в памяти
http://rghost.ru/17100181
тутор можешь на досуге сделать?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

DenCoder
http://www.wasm.ru/forum/viewtopic.php?id=37208
http://indy-vx.narod.ru/Bin/AVrf.zip

| Сообщение посчитали полезным: DenCoder

прицепом дизасм с графером, наверно интересно было бы

до кучи
http://eugenys.blogspot.com/2011/02/blog-post_11.html#more

| Сообщение посчитали полезным:

Странно, ссылка --> http://indy-vx.narod.ru/Bin/AVrf.zip <-- прекрасно работает, но помню, что раньше по адресу http://indy-vx.narod.ru и текст был, типа, блог. Сейчас уже не доступен?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Наверное глупый вопрос. но все же спрошу про вариант DenCoder(а). Если сначала загрузить DLL, пропатчить, а потом запустить основной ехе(ник), запускающий DLL - DLL будет грузится снова или в памяти останется пропатченная ? И программа будет работать с ней (пропатченой) ?

| Сообщение посчитали полезным:

Прочитай про адресное пространство процессов в винде.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Прочитай про адресное пространство процессов в винде.


Лучше эксперимент проведу, когда время будет.

а так вот что здесь написано:

Именно тогда появились счетчики ссылок пользователей DLL - при каждом вызове функции ОС проверяет наличие загруженного в память экземпляра библиотеки. В случае положительного ответа счетчик ссылок пользователей данной DLL увеличивается на единицу. Если же экземпляр данной DLL в памяти не обнаружен, то операционная система загружает файл в память и присваивает счетчику значение "1".

| Сообщение посчитали полезным:

Это в пределах одного процесса. Лучше почитай всё же.

| Сообщение посчитали полезным:

Archer пишет:
Это в пределах одного процесса.


Хотите сказать, что нужно одним и тем же ехе(ком) вызвать dll два раза. Первый раз ложно и пропатчить, а второй раз уже как положено.


Archer пишет:
Лучше почитай всё же.


Мудрено... Я же не профи. Да и причем тут адресное пространство. Вопрос то в другом: откуда будет "грузиться" dll - с винта или из памяти.

| Сообщение посчитали полезным:

alt
Вы спрашиваете глупости, потому вам по существу не отвечают. Нельзя загрузить 2 длл с одинаковыми именами и функциями. У разных процесов разные адресные пространства и между ними нет общего доступа.

| Сообщение посчитали полезным:

alt пишет:
Да и причем тут адресное пространство. Вопрос то в другом: откуда будет "грузиться" dll - с винта или из памяти

alt пишет:
Лучше эксперимент проведу, когда время будет.

Лучше сразу головой об стену, это хоть реально на эксперимент будет похоже.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

--> Link <--

| Сообщение посчитали полезным:

yanus0 пишет:
ы спрашиваете глупости, потому вам по существу не отвечают. Нельзя загрузить 2 длл с одинаковыми именами и функциями. У разных процесов разные адресные пространства и между ними нет общего доступа.


Спасибо, добрый человек, что не дали убиться об стену в процессе эксперемента. Я подозревал, что это так. Но вышеприведенный пример смутил.

| Сообщение посчитали полезным:

yanus0 пишет:
Нельзя загрузить 2 длл с одинаковыми именами и функциями


А вот сейчас смотрю на свою ДЛЛ. Во время загрузки проги вызывается раз 7. Вызывается функцией LoadLidrary В первый раз пропатчил. В следующие разы патчинг остался.

| Сообщение посчитали полезным:

Да потому что она и не выгружалась. Ты утомил уже, последний раз говорю, почитай матчасть, потом в бан отправлю принудительно читать.

| Сообщение посчитали полезным: