Проблема с CodeInjection в МАСМЕ

Сейчас на форуме: zds, tyns777, JustLife, 2nd, morgot, Rio, CDK123 (+4 невидимых)

Посл.ответ	Сообщение
SecurAdmin Ранг: 95.2 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 13 января 2009 12:26 · Личное сообщение · #1 вобщем собственно код: Code: include windows.inc include kernel32.inc include user32.inc includelib user32.lib includelib kernel32.lib E PROTO .data MsgCaption db "WinAsm Template",0 MsgBoxText db "This is a bare bones exe application.",0 programname db "C:\Windows\notepad.exe" processInfo PROCESS_INFORMATION <> startInfo STARTUPINFO <> szUser32 byte 'USER32.DLL', 0 .data? PID DWORD ? hProcess DWORD ? hModule DWORD ? hNewModule DWORD ? dwSize dword ? dwBytesWritten dword ? .code E proc invoke LoadLibrary,ADDR szUser32 invoke MessageBox, NULL,addr MsgBoxText, addr MsgCaption, MB_OK invoke ExitThread,0 Ret E EndP start: invoke GetModuleHandle, 0 mov hModule, eax mov edi, eax assume edi:ptr IMAGE_DOS_HEADER add edi, [edi].e_lfanew add edi, sizeof dword add edi, sizeof IMAGE_FILE_HEADER assume edi:ptr IMAGE_OPTIONAL_HEADER32 mov eax, [edi].SizeOfImage mov dwSize, eax assume edi:NOTHING invoke CreateProcess,ADDR programname,NULL,NULL,NULL,FALSE,\ NORMAL_PRIORITY_CLASS,\ NULL,NULL,ADDR startInfo,ADDR processInfo mov eax,processInfo.dwProcessId mov PID,eax invoke OpenProcess,PROCESS_ALL_ACCESS,FALSE,PID mov hProcess,eax invoke VirtualFreeEx, hProcess, hModule, 0, MEM_RELEASE invoke VirtualAllocEx, hProcess, hModule, dwSize, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE mov hNewModule, eax invoke WriteProcessMemory, hProcess, hNewModule, hModule, dwSize, addr dwBytesWritten invoke CreateRemoteThread, hProcess, 0, 0, addr E, hModule, 0, addr PID invoke ExitProcess,NULL end start Вобщем на VirtualAllocEx происходит ошибка: код 487 - Попытка обращения к неверному адресу Ткните носом, что я не так делаю... ЗЫ: Связываться с инжектом через длл не хочу категорически.... ----- бессмысленные манипуляции не становятся более разумными если их повторять

ARCHANGEL Ранг: 681.5 (! !), 405thx Активность: 0.42↘0.21 Статус: Участник ALIEN Hack Team	Создано: 13 января 2009 13:15 · Поправил: ARCHANGEL · Личное сообщение · #2 SecurAdmin Конечно неверный адрес, ты ведь пытаешься выделить блок памяти, который, скорее всего, имеет значение 00400000, т.е. вероятная база образа твоего экзешника, а в перехватываемом процессе эти адреса тоже заняты, т.е. ты его получаешь через Code: invoke GetModuleHandle, 0 mov hModule, eax Тебе нужно 0 передать вместо второго параметра и всё заработает. Вот так: Code: invoke VirtualAllocEx, hProcess, 0, dwSize, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE Можно просто MEM_COMMIT. И непонятно, зачем такой dwSize? У тебя есть shell code, у него какой-то свой размер, вот его и надо подставлять, а не SizeOfImage. ----- Stuck to the plan, always think that we would stand up, never ran.
SecurAdmin Ранг: 95.2 (постоянный) Активность: 0.04↘0 Статус: Участник	Создано: 13 января 2009 13:19 · Личное сообщение · #3 ARCHANGEL Спасибо за информацию, но трабла ушла сама собой...ничего не трогал, ни чего не менял...странно конечно.. Тема себя исчерпала. Закрываю. ----- бессмысленные манипуляции не становятся более разумными если их повторять

Для печати