eXeL@B —› Вопросы новичков —› DLL загрузчик |
Посл.ответ | Сообщение |
|
Создано: 04 июля 2019 07:08 · Поправил: azgame · Личное сообщение · #1 |
|
Создано: 04 июля 2019 08:13 · Поправил: -=AkaBOSS=- · Личное сообщение · #2 расположение длл в памяти известно, границы из пе-хидера увидишь - бери PETools и дампь как произвольный регион. Навряд ли дллка будет после этого рабочей, однако для исследования должно хватить. Оптимально, конечно, было бы выловить её из сетевых пакетов. azgame пишет: Всякий раз когда достигнута(!) точка останова - процесс закрывается. Причем брейкпоинты на такие вещи как ExitProcess; TerminateProcess; TerminateThread не дают никакого результата Ну результата не дают, так как вполне очевидно, что защита хукнула системную точку обработки исключений. Поэтому бряк обрабатывается не отладчиком, а защитой. Какие плагины с какими настройками используются? Попробуй зациклить на нужной точке через EBFE, а потом поставить на паузу. azgame пишет: И да, пакер энигма 4.xx. это пакер чего? лоадера? целевого процесса? дллки? по первому скрину названия секций видно: vmp0, vmp1 - есть вариант что это не совсем энигма |
|
Создано: 04 июля 2019 10:37 · Личное сообщение · #3 |
|
Создано: 04 июля 2019 10:48 · Личное сообщение · #4 |
|
Создано: 04 июля 2019 10:59 · Личное сообщение · #5 |
|
Создано: 04 июля 2019 11:17 · Поправил: azgame · Личное сообщение · #6 |
|
Создано: 04 июля 2019 11:29 · Личное сообщение · #7 |
|
Создано: 04 июля 2019 11:31 · Поправил: azgame · Личное сообщение · #8 |
|
Создано: 04 июля 2019 11:46 · Личное сообщение · #9 |
|
Создано: 04 июля 2019 11:55 · Поправил: azgame · Личное сообщение · #10 |
|
Создано: 04 июля 2019 11:55 · Поправил: -=AkaBOSS=- · Личное сообщение · #11 azgame пишет: Первый раз в самом начале, второй раз в конце чуть выше манифеста. Это не секции. Какая-то дополнительная компиляторная инфа, не более. Формат битый, поэтому оно вообще висит в воздухе azgame пишет: Хотелось бы загружать эту DLL из своего лоадера ну с этого надо было начинать. стало быть, в любом случае надо отловить длл до того, как её начнут грузить в чужой процесс. Первый скрин показывает, что из сети она приходит в чистом виде. В чём проблема сохранить её напрямую? Только не как ASCII, разумеется) |
|
Создано: 04 июля 2019 12:06 · Поправил: azgame · Личное сообщение · #12 |
|
Создано: 04 июля 2019 12:11 · Личное сообщение · #13 |
|
Создано: 04 июля 2019 12:32 · Поправил: azgame · Личное сообщение · #14 |
|
Создано: 04 июля 2019 12:36 · Поправил: cppasm · Личное сообщение · #15 -=AkaBOSS=- пишет: Это не секции. Какая-то дополнительная компиляторная инфа, не более. | Сообщение посчитали полезным: -=AkaBOSS=- |
|
Создано: 04 июля 2019 12:45 · Личное сообщение · #16 azgame пишет: Я вероятно что то делаю не так, но к сожалению привести в нормальный вид tcp пакет у меня не получается. да уж.. это было сильно - обрабатывать текстовый хекс дамп сделал |
eXeL@B —› Вопросы новичков —› DLL загрузчик |
Эта тема закрыта. Ответы больше не принимаются. |