Вставил несколько своих команд, путём иньекции.
Теперь хочу восстановить родные команды, но не получается...
Вот пример как я пытаюсь сделать:

После последней команды меня кидает в системную библу, вместо того чтоб записать ноль по адресу.
И после этого выскакивает ошибка


Что я делаю не так ???
И если можно пример как записать ноль без ошибки

| Сообщение посчитали полезным:

00401000 - это у вас секция кода походу. По-умолчанию, она не имеет прав на запись.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

tekton

Кидает, видимо, на KiUserExceptionDispatcher. С него начинает разворачиваться обработка исключений в юзверьмоде. В примере, который вы привели, адреса вымышленные? Т.к. сообщение об ошибке говорит, что вы такое пытаетесь провернуть, когда EIP = 0x00401094, а пписать - по адресу 0x00401086. А так - либо в секциях править атрибуты доступа, либо VirtualProtect юзать.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: tekton

ARCHANGEL пишет:
В примере, который вы привели, адреса вымышленные?
Ну да для наглядности так сказать
ARCHANGEL пишет:
А так - либо в секциях править атрибуты доступа
Можно это програмно сделать?
ARCHANGEL пишет:
либо VirtualProtect юзать.
Можно подробнее ?

| Сообщение посчитали полезным:

tekton --> VirtualProtect <--

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: tekton

ARCHANGEL
> Кидает, видимо, на KiUserExceptionDispatcher
Оно есчо кудато может кидать ?

> либо VirtualProtect юзать.
> Можно подробнее ?
Мб попробовать гугл ?

| Сообщение посчитали полезным:

ARCHANGEL & PE_Kill Спасибо
Буду разбираться

| Сообщение посчитали полезным:

bowrouco
О, вам ли не знать, что кидать может куда угодно, достаточно только адрес этого CALLBACK'а в ядре исправить

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Мы рады что вам известно как называется этот колбек

| Сообщение посчитали полезным:

походу тема превратилась в очередную свалку.
есть 3 способа под вин хп сделать метаполиморфный код =(самомодификацию . расшифровка по ходу выполнения и т.д) сегмент кода по дефолту ток для чтения поэтому 3 варинта. либо выболнять код в стэке(вроде как закрыто начиная с висты) либо переназначения прав сегменту памяти на предмет разрешения записи в него, либо исполнение кода в мапед файле. Резуме. Если вы хотите исполнить код, думайте чЁ делаете.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY
> сегмент кода по дефолту ток для чтения
Он для чтения и исполнения. Доступ к странице определяется не только дескриптором сегмента, он описан также в PTE. Посему если страница ридонли, то попытка записи через Ds(R/W) приведёт к фолту.

> переназначения прав сегменту памяти
Нельзя изменять дескрипторы в GDT. Если нужен другой дескриптор, то придётся LDT юзать, но зачем ?
Вероятно вы путаете регион памяти с сегментом(сегмент описывается дескриптором сегмента).

> либо исполнение кода в мапед файле.
Бред какойто. Нужно разрешить запись в страницу, это NtProtectVM. Исполнять можно код по любому адресу в кодовом сегменте, если PAE выключен, либо управлять NX. У меня например код на стеке исполняется без проблем, а константа PAGE_EXECUTE не поддерживается(PAE не робит).

| Сообщение посчитали полезным:

Спасибо всем за наставление на путь истинный
Нашёл пример использования VirtualProtect
буду пробовать через него справиться с задачей.

| Сообщение посчитали полезным:

tekton
Не благодарите, это одна из базовых апи для работы с памятью. Инде хочет слышать мнение ARCHANGEL'а.

| Сообщение посчитали полезным:

bowrouco
Да тут уже, в общем-то, всё сказано. Если вас интересует, что я думаю по поводу вашего комментирования утверждений VodoleY, то давайте по-порядку:

> сегмент кода по дефолту ток для чтения
Он для чтения и исполнения. Доступ к странице определяется не только дескриптором сегмента, он описан также в PTE. Посему если страница ридонли, то попытка записи через Ds(R/W) приведёт к фолту.

Хоглунд и Батлер в своей книге "Руткиты. Внедрение в ядро Windows" начиная со с.62 в разделе Детали проверки доступа к памяти подверждают мнение bowrouco.



В любом случае, это нетрудно проверить, проведя аналогичный опыт.

> переназначения прав сегменту памяти
Нельзя изменять дескрипторы в GDT. Если нужен другой дескриптор, то придётся LDT юзать, но зачем ?
Вероятно вы путаете регион памяти с сегментом(сегмент описывается дескриптором сегмента).

Вероятно, имеется в виду, что нельзя менять из ринг 3, но это уже мелкие придирки Другой дескриптор действительно можно заюзать через LDT --> Proof <--

> либо исполнение кода в мапед файле.
Бред какойто. Нужно разрешить запись в страницу, это NtProtectVM. Исполнять можно код по любому адресу в кодовом сегменте, если PAE выключен, либо управлять NX. У меня например код на стеке исполняется без проблем, а константа PAGE_EXECUTE не поддерживается(PAE не робит).

Метод творческий, но не нов с точки зрения выделить участок с правами на чтение+запись (ZwProtectVirtualMemory (NtProtectVM сокращенно)) и выполнять код там. Ибо если этого не сделать, то тогда вам придётся на диске создать файл с кодом, который вы хотите выполнить, потом его промеппировать и выполнять. Должно работать, но как-то это не красиво, да и не очень оптимально.

У меня например код на стеке исполняется без проблем
У меня тоже, т.к. выключен DEP. А если его включить, то управлять NX вообще отдельная тема, ведь он задумывался как несбрасываемый в случае установки. Правда, PAE включен.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: bowrouco

ARCHANGEL
> придётся на диске создать файл с кодом, который вы хотите выполнить, потом его промеппировать и выполнять.

Можно выделить память под это дело(NtAlloc* или NtMap*, секция не обязательно должна быть файловой).

> Proof



| Сообщение посчитали полезным:

bowrouco bowrouco пишет:
> либо исполнение кода в мапед файле.Бред какойто.
вы бы уважаемый перечитали свой да и мой пост еще раз.
Я описал ВСЕ возможные честные способы модификации кода.
1. сегмент стека имеет права риад врайт поэтому можно туда код засунуть
2.VirtualProtect ктом поменять в сегменте режим доступа к нему
3. а мапед файл это как вариант. никто не заставляет блокнот мапировать

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY
1. Регион памяти занятый стеком имеет тип доступа R/W. Поэтому можно туда писать и читать. Сегмент тут совершенно не причём. Например Ss:[0] не выделена, туда нельзя выполнять доступ, хотя сегмент весь до конца юзерспейса R/W(для дескриптора, селектор которого в Ss). Это плоская модель памяти уважаемый.

2. Изменяются атрибуты страниц, например взводятся биты в PTE. Сегмент описан в дескрипторе, он не изменяется.

3. В кодосекции проекции нельзя писать. А при включенном NX(DEP) в секциях данных нельзя код исполнять. Так что не понятно причём тут проекции. Маппинг это один из способов аллокации памяти.

Нашёл интересны пруфкод:


| Сообщение посчитали полезным:

VodoleY
Вы путаете термин сегмент и страница. --> Тут всё есть <-- Но это не упрёк. Ну, с кем не бывает. Я иногда и не так загоняю

Изменяются атрибуты страниц, например взводятся биты в PTE. Сегмент описан в дескрипторе, он не изменяется.

ИстЕна!

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ого, сколько ужаса можно услышать о том, что вроде все знать должны. и даже не похоже, чтобы этот бред был написано просто назло клерку.

чтобы пост не был оффтопом:
tekton пишет:
ARCHANGEL пишет:А так - либо в секциях править атрибуты доступа
Можно это програмно сделать?
в любом PE-редакторе: Sections -> в поле Characteristics секции кода ставишь галку "Writable"

| Сообщение посчитали полезным:

Что то простой вопрос новичка а-ля Как написать Hello world! превратился в помойку и снова уходит в ядро но теперь уже не только благодаря клерку, но и архангелу. Вам делать нефиг что ли?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: hlmadip

PE_Kill
Одного не пойму. Что обсуждение свелось к нэйтивным вопросам(системным, хардварным, серьёзным.. понимайте со своей точки зрения) это разве плохо ?
Или вы сторонник скрипта и подобных идей, типо межплатформенной переносимости, где кроме прототипов апи ничего знать не нужно ?
Такие взгляды не годные.

| Сообщение посчитали полезным:

Если человек в "Вопросы новичков" спрашивает почему ключ на 10 не накидывается на гайку диаметром 14, то я не думаю, что ему будет интересно узнать, что любую гайку можно сорвать ядерным взрывом малой мощности и получить схему устройства и сборки такой бомбы.

Есть же оффтоп, там можно обсуждать всё.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Не так. Если аналогия с ключём - тс не знает что есть ключ на 14 и в какую сторону крутить. Что гайка не крутится изза резьбы он узнает только изучив архитектуру, тоесть ядро.

| Сообщение посчитали полезным:

Я не знаю ядро и не хочу знать. Но при этом писал упаковщик исполняемых файлов, который работал и вин 98 и в вин 7. Мне повезло?

ЗЫ. Кстати кроме смеха. Откручивать и закручивать гайки меня научили еще в 7 лет, но что такое резьба и как она работает я узнал несколько позже. Так что логика прослеживается.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: hlmadip

PE_Kill вы правы топ превратился в очередной мусорник. каюсь подбросил свой пакетик. на предмет не правильно (нечетко) дал ответ. вместо что делать человеку обрисовал перспективы. видимо получать будем все (ввиде порче кармы, арчи постараеца )
З.Ы, но есть и положительные моменты. Знать досконально все нельзя. если человек решая конкретную задачу увидел ответвление от темы связанные с этой темой это не плохо. это и есть процесс обучения. Ц.Ы. чем больше знаешь тем больше понимаешь сколько много ты еще незнаешь

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: