 |
eXeL@B —› Вопросы новичков —› DLL загрузчик |
| Посл.ответ | Сообщение |
|
|
Создано: 04 июля 2019 07:08 · Поправил: azgame · Личное сообщение · #1 /del  |
|
|
Создано: 04 июля 2019 08:13 · Поправил: -=AkaBOSS=- · Личное сообщение · #2 расположение длл в памяти известно, границы из пе-хидера увидишь - бери PETools и дампь как произвольный регион. Навряд ли дллка будет после этого рабочей, однако для исследования должно хватить. Оптимально, конечно, было бы выловить её из сетевых пакетов. azgame пишет: Всякий раз когда достигнута(!) точка останова - процесс закрывается. Причем брейкпоинты на такие вещи как ExitProcess; TerminateProcess; TerminateThread не дают никакого результата Ну результата не дают, так как вполне очевидно, что защита хукнула системную точку обработки исключений. Поэтому бряк обрабатывается не отладчиком, а защитой. Какие плагины с какими настройками используются? Попробуй зациклить на нужной точке через EBFE, а потом поставить на паузу. azgame пишет: И да, пакер энигма 4.xx. это пакер чего? лоадера? целевого процесса? дллки? по первому скрину названия секций видно: vmp0, vmp1 - есть вариант что это не совсем энигма |
|
|
Создано: 04 июля 2019 10:37 · Личное сообщение · #3 Энигма без проблем работает под отладчиком с плагинами(сцилла). После запуска апп распаковано, можно прямо дампить. ----- vx |
|
|
Создано: 04 июля 2019 10:48 · Личное сообщение · #4 difexacaw она делает полностью работоспособную dll или ее можно только в иде посмотреть? ----- Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей. |
|
|
Создано: 04 июля 2019 10:59 · Личное сообщение · #5 Crawler Не знаю точно, на первый взгляд импорт не тронут, секция кодовая тоже. Можно выяснить подробно по ветвлениям за пределы образа/кодовой секции. ----- vx |
|
|
Создано: 04 июля 2019 11:17 · Поправил: azgame · Личное сообщение · #6 /del |
|
|
Создано: 04 июля 2019 11:29 · Личное сообщение · #7 azgame пишет: почему 2 раза секции объявлены, это 2 разные dll что ли. а где второй раз? не вижу что-то в чём вообще задача? выяснить что длл делает? или сделать свой лоадер для неё, без загрузки из интернета? |
|
|
Создано: 04 июля 2019 11:31 · Поправил: azgame · Личное сообщение · #8 /del |
|
|
Создано: 04 июля 2019 11:46 · Личное сообщение · #9 azgame > Хотелось бы загружать эту DLL из своего лоадера А зачем для этого распаковывать(дампить) 
----- vx |
|
|
Создано: 04 июля 2019 11:55 · Поправил: azgame · Личное сообщение · #10 /del |
|
|
Создано: 04 июля 2019 11:55 · Поправил: -=AkaBOSS=- · Личное сообщение · #11 azgame пишет: Первый раз в самом начале, второй раз в конце чуть выше манифеста.  Это не секции. Какая-то дополнительная компиляторная инфа, не более. Формат битый, поэтому оно вообще висит в воздухе azgame пишет: Хотелось бы загружать эту DLL из своего лоадера ну с этого надо было начинать. стало быть, в любом случае надо отловить длл до того, как её начнут грузить в чужой процесс. Первый скрин показывает, что из сети она приходит в чистом виде. В чём проблема сохранить её напрямую? Только не как ASCII, разумеется) |
|
|
Создано: 04 июля 2019 12:06 · Поправил: azgame · Личное сообщение · #12 /del |
|
|
Создано: 04 июля 2019 12:11 · Личное сообщение · #13 azgame пишет: Тогда у меня просто не получается пофиксить хеадеры этой длл А зачем их фиксить вообще? Они нормальные должны быть по умолчанию. Просто отрезать всё что до сигнатуры MZ и оно уже в принципе должно работать |
|
|
Создано: 04 июля 2019 12:32 · Поправил: azgame · Личное сообщение · #14 /del |
|
|
Создано: 04 июля 2019 12:36 · Поправил: cppasm · Личное сообщение · #15 -=AkaBOSS=- пишет: Это не секции. Какая-то дополнительная компиляторная инфа, не более. | Сообщение посчитали полезным: -=AkaBOSS=- |
|
|
Создано: 04 июля 2019 12:45 · Личное сообщение · #16 azgame пишет: Я вероятно что то делаю не так, но к сожалению привести в нормальный вид tcp пакет у меня не получается. да уж.. это было сильно - обрабатывать текстовый хекс дамп  сделал |
|
eXeL@B —› Вопросы новичков —› DLL загрузчик |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати