Не смог найти на русском языке доходчиво.

Как в ollydbg создать thread, отправить а после выполнить jmp на нужную инструкцию.И что бы выполнялись оба процесса?

| Сообщение посчитали полезным:

а этот костыль обязательно в ольке проворачивать?
мож лоадером человечнее будет?

| Сообщение посчитали полезным:

Я нуб осваивающий "гайды по крекингу" каким лоадером?

| Сообщение посчитали полезным:

ясно, вопрос отплыл
это в гайдах по крекингу учат треды в ольке создавать?

а в чём состоит суть задачи?

| Сообщение посчитали полезным:

Не , в гайдах по крекингу я понял как практически использовать комманды (jmp,call,mov,add,inc) ассемблера, в ollydbg , увидел как меняются регистры , флаги.

Теперь пишу программу,одну уже написал (встроил шеллкод CreateProcessA calc.exe) в putty ,с другим шеллкодом не проканало,хотя он поидее создает поток сам, теперь хочу найти универсальный способ вставки шеллкода в PE.

-=AkaBOSS=- если платно проконсультируешь велком ПМ

| Сообщение посчитали полезным:

UberM пишет:
встроил шеллкод CreateProcessA calc.exe
ок. я так понимаю парсером импорта тут и не пахнет - адрес CreateProcessA статично задан (в другой версии винды он будет отличаться и код работать не будет).
для того чтобы выполнить свой код, нужно либо создавать тред из внешней программы, либо перехватывать управление самому.

в смысле - ты ведь так или иначе патчишь память, почему бы не пропатчить еще немного?
найди код, который выполняется очень часто. например - цикл сообщений окна.
там последовательно крутятся вызовы функций GetMessage, TranslateMessage и DispatchMessage.
тут-то и можно будет встроиться, а в процессе выполнения своего кода либо установить флаг выполненной задачи, либо пропатчить всё обратно, восстановив исходные байты.
смотри только чтоб потом адрес возврата в середину восстановленной инструкции не упёрся.

Добавлено спустя 24 минуты
для новичка возможно будет проще начать встраивать код с помощью автоассемблера CheatEngine
там можно просто писать вещи типа:



на полноценное решение такой подход не тянет, но для новичка - самое оно, имхо.

| Сообщение посчитали полезным:

-=AkaBOSS=- Спасибо тебе огромное !!! Много для себя понял в Cheat Engine

Такой еще вопрос.

вот встраиваю WinExec.

addres 1 cmd.exe ASCII
PUSH addres 1
CALL WinExec

выполняется CMD.EXE

Теперь хочу выполнить cmd.exe /c mkdir 123

Но после Analyze code (CTRL+A)

получается такое


Пробовал делать 2 push'а - не выполняется , как тут решить?

| Сообщение посчитали полезным:

UberM пишет:
Пробовал делать 2 push'а - не выполняется , как тут решить?
зачем 2-то? просто олька из своих соображений строку перенесла - она так поступает со всем, что длиннее 16 байт (ограничение колонки HEX)


| Сообщение посчитали полезным:

-=AkaBOSS=- что может быть? После перезагрузки WinExec превращается в 5 инструкций которые не читаются CHAR $ всякие...А до перезагрузки все ОК , как с этим бороться?



| Сообщение посчитали полезным:

Ctrl+A не помогает? тогда правый клик - Analisys - Remove analisys from module

у тебя адрес инжекта изменился кажись, и колл уходит в пустоту.
есть два вида коллов:
1. имеет в качестве операнда смещение относительно следующей инструкции.
это как раз тот, которым ты апишку вызываешь:

чтобы каждый раз не вычислять для каждого колла относительное смещение, применяют второй тип
2. операнд - регистр, адрес или комплексное выражение указывающее на ячейку памяти, содержащую адрес для перехода. например:

в этом случае достаточно вычислить адрес назначения, поместить его в регистр или переменную и обратиться к ним соответствующим образом

| Сообщение посчитали полезным:

UberM
От модератора: Используйте сервис для загрузки изображений!

http://hostingkartinok.com
http://fastpic.ru

ну нельяз такие большие постить, на весь экран, либо обрезайте их.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

OK

-=AkaBOSS=-

Сделал вот как:

MOV EAX,WinExec
CALL EAX

После перезагрузки компа заместо WinExec стоит адрес который не существует )=

как узнать адрес win exec?

| Сообщение посчитали полезным:

надо узнать базовый адрес кернел32 - его hModule
оттуда уже можно использовать RVA - смещение относительно базового адреса загрузки модуля
например, модуль загружен по адресу 0x12340000, и мы имеем нужный RVA - 0x5678
узнали базовый адрес, прибавили RVA - получили собственно то что хотели - 0x12345678
а если при перезагрузке модуль загрузился, например, по адресу 0x9870000, мы получим адрес 0x9875678

теперь переходим к проблеме - как получить базовый адрес? в системе для этого изначально служит функция GetModuleHandle. ей передаёшь имя модуля, она возвращает его hModule = базовый адрес.
вроде просто? а вот и нет. потому что функция эта тоже находится в кернел32, базы которого мы изначально не имеем.

Добавлено спустя 7 минут
я еще не упомянул о том, что RVA апи функции в другой версии винды будет недействителен, и единственный верный способ - это найти базу нужного модуля, и просканировать его таблицу экспорта (кури доки по структуре PE файлов, я это перепечатывать не хочу)

вот так и выходит, что куда ни сунься - без базовых адресов никуда ты не уплывёшь в чужом процессе.
а значит - весь план коту под хвост. или нет

ну и вдогонку
чтобы найти базу модулей, обычно читают списки модулей в PEB.LoaderData.
это я так, чтоб было о чём гугл спросить =)

можно еще раскручивать цепочку SEH, поднимаясь до самого верха. принято считать, что самый крайний обработчик исключений принадлежит кернел32.

почитай ВОТ ЭТО, там неплохо объяснены основы.. хоть и не с первого раза доходит)

а на этапе разборок с TEB-PEB очень поможет XNTSV

| Сообщение посчитали полезным:

-=AkaBOSS=-

Спасибо огромное , пошел разбираться с PE... Уж очень интересная штука ассемблер)

| Сообщение посчитали полезным:

С помощью плагина ODbgScript просто резервируется место для параметров
нужной функции, а также организуется сам вызов этой функции.

| Сообщение посчитали полезным: