| Сейчас на форуме: asfa, _MBK_, Adler, bartolomeo (+8 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Присоединить Olly сразу после создания процесса. |
| Посл.ответ | Сообщение |
|
|
Создано: 03 июля 2012 00:04 · Личное сообщение · #1 Потихоньку отрабатываю опыт препарирования разной несложной вирусни. Несколько раз сталкивался с тем, что в отлаживаемой программе создается новый процесс (CreateProcess), который за секунду отрабатывает и завершается. Соответственно проследить в отладчике за новым процессом не получается. Как можно прикрепить отладчик к таким процессам?  |
|
|
Создано: 03 июля 2012 00:16 · Личное сообщение · #2 В параметрах создаваемого процесса выставить suspended, только не помню олька к таким может присоединяться или нет. или зацикливаешь на оеп файл который запускается и аттачишься. | Сообщение посчитали полезным: toxakgd |
|
|
Создано: 03 июля 2012 01:12 · Личное сообщение · #3 "Debugger" в конф. |
|
|
Создано: 03 июля 2012 08:52 · Поправил: drone · Личное сообщение · #4 EB FE на OEP и затем цепляйся |
|
|
Создано: 03 июля 2012 08:56 · Поправил: Flint · Личное сообщение · #5 toxakgd пишет: Несколько раз сталкивался с тем, что в отлаживаемой программе создается новый процесс (CreateProcess), который за секунду отрабатывает и завершается. Может пригодится https://vazonez.com/forum/topic=723.0 ----- Nulla aetas ad discendum sera | Сообщение посчитали полезным: plutos, toxakgd |
|
|
Создано: 05 июля 2012 18:59 · Личное сообщение · #6 Раздел реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] Создаём подраздел с именем образа, включая расширение. Если файл virus.exe, то создаём [virus.exe] В подразделе 2 ключа: Debugger = "путь до дебаггера" GlobalFlag = 0x000010F0 Старт explorer.exe при перезагрузке именно так и ловил ) ----- IZ.RU | Сообщение посчитали полезным: toxakgd |
|
|
Создано: 09 июля 2012 23:10 · Личное сообщение · #7 Спасибо всем. До этого я дампил образ нового процесса прямо перед запуском, а потом запускал его в ольке. Теперь знаю еще пару методов!!  И Еще. В этом же exe'шнике создается процесс dwwin.exe с параметрами командной строки -s -p ??? (где ???- трехзначное число (я думаю может номер процесса к которому присоединиться)). Это часть отладчика винды DrWatson, вот только описание командной строки я нашел только для drwtsn.exe. Что это за параметры, зачем запускать отладчик и как это все потом отлаживать? |
|
|
Создано: 10 июля 2012 16:08 · Личное сообщение · #8 А нужно ли. Вы "влезли" в стандартный процесс обработки ошибок Винды. Выдается окошко об ошибке и запрос на использование отладчика. |
|
|
Создано: 10 июля 2012 18:49 · Личное сообщение · #9 toxakgd А к чему этот онанизм? Имя стартующего екзешника ты видишь, параметра запуска тоже, возьми да открой олькой, или как вариант который чаще всего и используют, это хучить запуск. |
|
|
Создано: 11 июля 2012 11:51 · Личное сообщение · #10 Для начала надо убедится, что правильно ловим. Под dwwin.exe действительно маскируются вирусы и похоже тут именно он, т.к. у dwwin другие параметры запуска: -s <чего-то сегмент> Тогда самое простое: пропатчить точку входа этого dwwin - EB Ef |
|
|
Создано: 04 сентября 2012 21:55 · Личное сообщение · #11 В продолжение темы. Программа создает процесс из exe файла с использованием CreateProcess и параметром CREATE_SUSPENDED. После этого производит различные манипуляции в адресном пространстве созданного процесса, поле чего вызывает ResumeThread. Хотел сдампить полученный процесс с помощью PETools, LordPE, хотел приаттачиться ОЛЬКой - в списке процессов жертва не значится.  Все процессы, созданные с параметром CREATE_SUSPENDED не видимы или я какой-то другой параметр не доглядел?? И извечный вопрос - что делать?? |
|
|
Создано: 04 сентября 2012 22:02 · Поправил: Veliant · Личное сообщение · #12 Ставишь бряки CreateProcess и WriteProcessMemory/ZwWriteVirtualMemory в родительском процессе. Дампишь то что будет писаться в чужую память. Частенько память пишется по частям (секциями), но в исходном буфере лежит весь ехе разом. Так вот, как сдампишь смотришь код на EntryPoint, или запоминаешь смещение до нее. Затем заново стартуешь родительский процесс, и перед записью в буфере правишь код с entrypoint на BoOMBoX пишет: понятно, что опечатка, но должно быть 0xEB 0xFE Благодарю, конечно же FE | Сообщение посчитали полезным: toxakgd |
|
|
Создано: 04 сентября 2012 22:27 · Личное сообщение · #13 Veliant пишет: правишь код с entrypoint на 0xEB 0xEF понятно, что опечатка, но должно быть 0xEB 0xFE, дабы не возникло проблем у новичков | Сообщение посчитали полезным: toxakgd |
|
|
Создано: 04 сентября 2012 22:45 · Личное сообщение · #14 Есть еще такая старенькая тулза Позволяет патчить процессы, вроде даже suspended. Ставь бряк на CreateProcess, в каком-нибудь Pe-редакторе смотри OEP. Бряк на ResumeThread меняй байты с OEP на EBFE и в путь. |
|
|
Создано: 13 сентября 2012 20:45 · Личное сообщение · #15 Спасибо всем, помогло. В образе, который затем писался в другой процесс в EP забил 0xEB 0xFE, дождался инжекта, открыл второй olly и приаттачился к новому процессу. Только для меня было странно, что после присоединения olly, я оказался не в EP, а где-то в системных библиотеках и пришлось ставить BP на EP. Только после этого я попал в EP. Так и должно быть? Это OllyDBG в начале инициализировался? |
|
|
Создано: 13 сентября 2012 20:49 · Личное сообщение · #16 |
|
|
Создано: 13 сентября 2012 21:13 · Личное сообщение · #17 Да..... чета тупанул.... Зачем было ставить BP если код итак зациклен??!!!  Одно слово- надо опыта набираться.Так а что это за код который в начале был? |
|
|
Создано: 13 сентября 2012 23:17 · Личное сообщение · #18 В начале-это где? Отладчик тормозится при аттаче в системных функциях, потому что дебаг апи так устроен. Если не ошибаюсь, так прерывание, на котором он и останавливается. |
|
|
Создано: 14 сентября 2012 00:22 · Личное сообщение · #19 В начале-это где? Сразу как только приаттачился А так.., ответ ваш понял, где-то так и представлял. |
|
eXeL@B —› Вопросы новичков —› Присоединить Olly сразу после создания процесса. |
Для печати