AppInit_dlls в х64

Сейчас на форуме: igorcauret (+8 невидимых)

Посл.ответ	Сообщение
Tolkin Ранг: 64.0 (постоянный), 2thx Активность: 0.04↘0.01 Статус: Участник	Создано: 03 июля 2014 22:42 · Личное сообщение · #1 Подскажите что делаю не так, но не получается подргужать х64 длл через этот ключ реестра. Проверялось на вин7 х64. Длл копирую в %SystemRoot%\system32\ в реестре ставлю [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="c:\WINDOWS\system32\test_dll.dll" "LoadAppInit_DLLs"=dword:00000001 и эту на всякий "RequireSignedAppInit_DLLs "=dword:00000000 но не помогает, не подгружается длл к процесам. для теста написана простая длл, при запуске просто выводит в дебаг (смотрим в DbgView) имя ехе, заргузившего длл (так же простеньки лоадер для подгрузки длл, чтоб видеть что длл то работает) залил на обменник --> Link <--

ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 03 июля 2014 23:09 · Личное сообщение · #2 Tolkin Да, там теперь этого мало, нужны ещё ключики в реестре. Сейчас поищу, какие именно... ----- Stuck to the plan, always think that we would stand up, never ran.
vovanre Ранг: 92.1 (постоянный), 83thx Активность: 0.11↘0 Статус: Участник	Создано: 03 июля 2014 23:15 · Поправил: vovanre · Личное сообщение · #3 Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "LoadAppInit_DLLs"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="c:\supervirus\lal.dll" "LoadAppInit_DLLs"=dword:00000001 Вроде как.
Tolkin Ранг: 64.0 (постоянный), 2thx Активность: 0.04↘0.01 Статус: Участник	Создано: 03 июля 2014 23:22 · Личное сообщение · #4 видел я такое, но ветка Wow6432Node используется для загрузки 32-битных длл в 64 -битной оси, но счас перепроверю Добавлено спустя 3 минуты не, по этому пути (Wow6432Node, и длл если еще скопировать в одноименную папку) - не помогает, не грузит длл.
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 03 июля 2014 23:30 · Личное сообщение · #5 Tolkin Ну, я думаю, суть будет понятна. Вот: Code: "reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /d "yourlib.dll%s%s" /f\n" "reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 1 /f\n" "reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v RequireSignedAppInit_DLLs /t REG_DWORD /d 0 /f\n" ----- Stuck to the plan, always think that we would stand up, never ran.
Tolkin Ранг: 64.0 (постоянный), 2thx Активность: 0.04↘0.01 Статус: Участник	Создано: 03 июля 2014 23:42 · Личное сообщение · #6 ARCHANGEL У тебя то получается подгружать длл? Я в первом посте написал именно эти ключи реестра и ставлю, но результата нету.
ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 04 июля 2014 00:14 · Личное сообщение · #7 Tolkin Блин, точно те же ключи ) Видимо, пора спать. Попробуй перезагрузиться. Это взято из какой-то малвари, работает или нет конкретно на х64 - не могу сказать, не на чем проверить сейчас, на х86 работает. ----- Stuck to the plan, always think that we would stand up, never ran.
Tolkin Ранг: 64.0 (постоянный), 2thx Активность: 0.04↘0.01 Статус: Участник	Создано: 04 июля 2014 00:36 · Личное сообщение · #8 ARCHANGEL ;) точно спать пора. ребутился, не помогает. на одном компе при копированиив папку system32 выдало 'the image file C:\windows\system32\test_dll.dll is valid, but for a machine type other than the current machine.' Win7 Ultimate SP1 64, core i5. Какой тип машины она имеет ввиду, что не 64бит длл? или что 64 ноне под этот проц? Компилил в XE6 , там только один вид х64 дает. Да и сама по себе то длл работает, если подгружать лоадером то пишет в дебаг. ХЗ.
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 04 июля 2014 02:50 · Личное сообщение · #9 Tolkin пишет: не получается подргужать х64 длл а x86?
Tolkin Ранг: 64.0 (постоянный), 2thx Активность: 0.04↘0.01 Статус: Участник	Создано: 04 июля 2014 07:55 · Личное сообщение · #10 Gideon Vi в х86 32-бит длл грузятся отлично(хп, вин7 проверены)
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 04 июля 2014 08:10 · Поправил: Gideon Vi · Личное сообщение · #11 Это понятно. Спрашивал для того, чтобы уточнить возможные проблемы именно в целевой ос. В любом случае, здесь задается для x86 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows а здесь для x64: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Теоретически может стоять ограничение на длину пути/файла. Копайте установленную проактивку и матчасть по требованиям к x64 dll, загружающемся таким способом.
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 04 июля 2014 08:18 · Личное сообщение · #12 Tolkin пишет: в х86 32-бит длл грузятся отлично Gideon Vi пишет: Теоретически может стоять ограничение на длину пути/файла кстати есть http://msdn.microsoft.com/en-us/library/dd744762(v=VS.85).aspx, в котором кроме использования коротких имен и RequireSignedAppInit_DLLs больше ничего особенного. немного допускаю мысль, что дело может быть в последнем
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 04 июля 2014 09:55 · Личное сообщение · #13 косяк, скорее всего, в символе "_".
diogen Ранг: 13.8 (новичок), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 04 июля 2014 12:27 · Личное сообщение · #14 Tolkin пишет: и эту на всякий "RequireSignedAppInit_DLLs "=dword:00000000 Пробел в конце RequireSignedAppInit_DLLs уберите и в reg-файле та же ошибка.
Tolkin Ранг: 64.0 (постоянный), 2thx Активность: 0.04↘0.01 Статус: Участник	Создано: 04 июля 2014 12:59 · Личное сообщение · #15 diogen пишет: Пробел в конце RequireSignedAppInit_DLLs уберите и в reg-файле та же ошибка. исправил, не помогло Gideon Vi 32-битные длл по пути Wow6432Node работает отлично на этой же оси. косяк, скорее всего, в символе "_" тоже не помогло
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 04 июля 2014 14:58 · Поправил: Alchemistry · Личное сообщение · #16 Tolkin Собрать простую длл с внятным DllMain не судьба? Есть большое подозрение что твоя длл не грузится потому что в ней дофига rtl гавна от дельфи которое падает. поправил: чтобы не быть голословным как некоторые придурки из соседней темы про эмуляцию: накатал длл 1) Code: BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved ) { TCHAR fName[MAX_PATH]; GetModuleFileName(NULL, fName, MAX_PATH); OutputDebugString(fName); return FALSE; } 3кб без всякого гавна 2) Положил ее в system32 (это ахтунг на самом деле) 3) Прописал ее в AppInitDlls с полным путем как требуется 4) LoadAppInit_DLLs установил в 1 5) RequreSigning не нужно вообще трогать, оно по дефолту на клиенте 7 выставлено в FALSE. 6) Запустил новые X64 процессы и вуаля http://i.imgur.com/ygFxu7Z.png Так что фиксите свою длл и избавляйтесь от дельфе гавна. \| Сообщение посчитали полезным: Tolkin
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 04 июля 2014 15:46 · Личное сообщение · #17 Говнометод. Удалите аверов перед юзанием. Да и шелл это полгое дерьмо. В каждой версии вносятся изменения. После апдейта это может даже не робить.
diogen Ранг: 13.8 (новичок), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 04 июля 2014 16:32 · Личное сообщение · #18 Dr0p пишет: Говнометод. Да и шелл это полгое дерьмо. Если не лень, объясните почему.
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 04 июля 2014 17:27 · Личное сообщение · #19 diogen Да хотя бы потому что если в процессе не будет user32.dll эта фигня не сработает. Если там в новых вендах конечно все коренным образом не перепахали. К тому же "Later versions of Windows will load only code-signed AppInit DLLs and will not include a registry key to disable this requirement."
Tolkin Ранг: 64.0 (постоянный), 2thx Активность: 0.04↘0.01 Статус: Участник	Создано: 04 июля 2014 18:24 · Личное сообщение · #20 Alchemistry спс за проверку. Жаль что в 64 ХЕ генерит что-то некорретно для данного метода, 32 варианты же без проблем.
diogen Ранг: 13.8 (новичок), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 04 июля 2014 19:40 · Поправил: diogen · Личное сообщение · #21 Alchemistry пишет: Если там в новых вендах конечно все коренным образом не перепахали. Win 8.1 x64 со всеми обновами - все работает. Да и зачем бежать впереди паровоза. Я, например, не хочу физически корежить файл, а хочу издеваться над ним в памяти (не нарушая подписи и т.п.) и все! И вопрос: А есть ли другие методы... Ну? Про глобальные хуки и еже с ними в курсе.
Alchemistry Ранг: 145.8 (ветеран), 190thx Активность: 0.14↗0.36 Статус: Участник	Создано: 04 июля 2014 20:13 · Личное сообщение · #22 diogen Т.е. вы хотите там патчи. Патчи негодны. Разводите пони? appcertdll, верифер (под опред.процесс), knowndlls да еще куча методов разной степени убогости как раз для заводчиков поней.
diogen Ранг: 13.8 (новичок), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 04 июля 2014 20:30 · Личное сообщение · #23 Alchemistry Ну зачем так грубо! Вы за легальное использование прог? Нахера тогда вы здесь околачиваетесь? Есть прога TeamViewer, если в курсе про такую (на рубороде есть тема), так я ее разрабов своими действиями вывел на цивилизованный путь программирования (подробности упущу, если надо скажу). Есть еще пара вариантов обуздать, но ваши варианты не прокатят.
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 05 июля 2014 02:59 · Личное сообщение · #24 diogen, зачем для одной программы лезть в AppInit? Смотрите, какие библиотеки используются и через них инлаинтесь.
diogen Ранг: 13.8 (новичок), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 05 июля 2014 10:28 · Личное сообщение · #25 Gideon Vi Согласен, так и делал. Но разрабы изловчились и теперь невозможно подгрузить библиотеки из папки программы и без цифровой подписи, только системные из system32.
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 05 июля 2014 11:22 · Поправил: Gideon Vi · Личное сообщение · #26 Красавцы. А говорите: diogen пишет: я ее разрабов своими действиями вывел на цивилизованный путь программирования Собственно, что мешает грузить лоадером и делать тоже самое, что и dll.
Tolkin Ранг: 64.0 (постоянный), 2thx Активность: 0.04↘0.01 Статус: Участник	Создано: 05 июля 2014 12:17 · Личное сообщение · #27 Gideon Vi пишет: Собственно, что мешает грузить лоадером и делать тоже самое, что и dll. Я так и сделал в своем случае, добавление в импорт к любому файлу проги палилось, глобальный перехват вот чет не вышел - обошелся лоадером.
diogen Ранг: 13.8 (новичок), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 05 июля 2014 12:35 · Личное сообщение · #28 Подскажите заодно уж про CreateProcessNotify. Есть прога которая может запускаться под сервисом и просто автономно. Если запускаю автономно, то CreateProcessNotify отрабатывается нормально, а из под сервиса не хочет. Дело в правах? Как заставить?

Для печати