Поискал на эту тему, но большинство примеров работают с собственноручно запущенным процессом, а просто OpenProcess не робит. Здесь наткнулся на тему про инжект, но у автора топика большие запросы, так что он советов не получил =\ У меня запросы поменьше - есть длл с неким кодом, нужно выполнить его, при этом не палиться во всех процесс-менеджерах и вешать свои затраты проц. времени на уже работающий процесс-батю. Хотелось бы такой лоадер на Си.
Распространённость и "неприватность" исходников роли не играет, я не "жидотроянописатель", я просто учусь =)

| Сообщение посчитали полезным:

Джеффри Рихтер. Глава 22 - Внедрение DLL и перехват API-вызовов

| Сообщение посчитали полезным:

Freecod На крайняк статьи MC-Rem на васме по теме инжекта, там он описывал чтото похожее в одной из глав.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

=\ У рема вроде всё на богомерзком делфи... Мне бы на Си _примеры_ Конвертировать это вроде сложно, там каких-то объявлений функций куча.

| Сообщение посчитали полезным:

откомпиль на дельфе, засунь в иду, вот те почти си

з.ы. первая ссылка из яндеха

_ttp://www.wasm.ru/forum/viewtopic.php?pid=148456

вторая из гугля

_ttp://www.cyberinfo.ru/5/2989_1.htm

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Freecod пишет:
всё на богомерзком делфи
ну там почти все на винапи и асме

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

А [кроссплатформености] работы на разных ветках Windows в инжекте реально вообще добиться?

| Сообщение посчитали полезным:

а как ты себе это представляешь?

| Сообщение посчитали полезным:

=) раз уж тема про инжект. Ктонить делал инжект из драйвера? Не длл а ехе полностью в другой процесс. Чето там про Апс ..говорят трудно. Хочу попробовать написать =)

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Ara пишет:

а как ты себе это представляешь?
Имелось в виду исключительно "платформа" = "ветка Windows", т.е. 9x и NT

| Сообщение посчитали полезным:

ставь на виртуалку 9x и пробуй, одним и тем же кодом врядли получится... хотя нада пробовать)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
одним и тем же кодом врядли получится..
главное не использовать специвичных для платформы функций. Которых например нету в 9* а есть в нт.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Stack
да и структуру памите не использовать она в 9х не как в НТ, и ваще кто видел 9х я даже не помню как выглядит это чудо, единственное что хочу взять темы для класического оформления, ктонить может дать помню раньше выдерал както )

| Сообщение посчитали полезным:

SPA пишет:
да и структуру памите не использовать она в 9х не как в НТ
Можно еще определять на какой системе стоишь и действовать в зависимости от нее. А про процедуры я имел ввиду что прога незапуститься(которая должна инжектить)

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

в 9x нет CreateRemoteThread

-----
Shalom ebanats!

| Сообщение посчитали полезным:

мне никтол не отвечает

Вот кто то уже делал вот так iiiiiiinject

APC

1. получаю список процессов через ZwQuerySystemInformation
2. перебираем элементы SYSTEM_PROCESSES* pProcesses, ищу нужный процесс по имени, сравнивая pProcesses->ProcessName.Buffer с тем что мне нужно
3. запоминаем id процесса и треда: pProcesses->ProcessId, pProcesses->Threads[0].ClientId.UniqueThread
4. открываем процесс через ZwOpenProcess, создавали в нём место для кода через ZwAllocateVirtualMemoryhProc, &buf, ...) с параметром PAGE_EXECUTE_READWRITE
5. цеплялись к процессу, KeAttachProcess, копировали исполняемый код - memcpy(buf, ...)
6. находили описатели PEPROCESS pEProcess и PETHREAD pThread через PsLookupProcessByProcessId и PsLookupThreadByThreadId.
7. аллокировали место под PKAPC Apc = ExAllocatePool(...)
8. инициализировали APC, KeInitializeApc(Apc, &pThread->Tcb, 0, NULL, NULL, buf, UserMode, NULL);
9. поставили в очередь: status = KeInsertQueueApc(Apc, NULL, NULL, UserMode);

Вообще как то масивно выглядит , это только поток внедряется. А сам весь ехе ? Я так понял вообще это никто не делал никогда но интересно как это будет.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
Я так понял вообще это никто не делал никогда но интересно как это будет.
Ты это серьёзно? Когда я искал в гугле было полно ссылок, видать потёрли все. Ещё недавно Грейт с Крэшем выкладывали на руткитах рабочий код. Так что -> в гугл.

| Сообщение посчитали полезным:

Ну я там нашел кое что , но в основном коды для вызова приложения из ядра. А тут инзект

281d_09.06.2008_CRACKLAB.rU.tgz - r0r3.asm

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Как я понимаю любой инжект только из под админа? Из за получения дебажных привелегий?

| Сообщение посчитали полезным:

mak, инжектишь шелкод и exe с релоками.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV пишет:
mak, инжектишь шелкод и exe с релоками.
=) растолкуй плиз ?! .. Шелкод укажет на ехе ? а потом запуск потока ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak, ну примерно как asprotect настраивает свой стаб, копируется образ и код который мапит его в выделенную память (копирует секции по виртуальным адресам, настраивает релоки, импорт, фиксит пеб и делает тред по AddressOfEntryPoint).

-----
Shalom ebanats!

| Сообщение посчитали полезным: