| Сейчас на форуме: tyns777 (+4 невидимых) |
 |
eXeL@B —› Программирование —› Лоадер для .NET приложения (Hook API) |
| Посл.ответ | Сообщение |
|
|
Создано: 11 сентября 2010 21:54 · Личное сообщение · #1 Собственно сабж. Кто нибудь делал? Нужно засплайсить функцию в kernel32.dll Проблема в том, что при CREATE_SUSPEND нельзя читать/писать в системные модули. EP тоже не пропатчишь, ибо там p-code. mscoree.dll так же не пропатчить в процессе, т.к. уже выше написал, что нельзя читать/писать, даже VirtualProtect не помогает. При инжекте длл в процесс через CreateRemoteThread начинает выполняться p-code и длл при этомне грузится. Варианты пока вижу только такие: Debug API - слишком муторно и не люблю юзать не по назначению. Подмена контекста основной нити - попахивает нестабильностью. Может есть еще какие варианты? ----- Yann Tiersen best and do not fuck  |
|
|
Создано: 11 сентября 2010 22:31 · Личное сообщение · #2 Ну там на EP вызывается функция из mscoree.dll (точно также как в VB вызывается ВМ), ибо файл прежде всего формата PE. Если нет проверок CRC, можно зайнлайнить. Если именно лоадер, то ставим цикл на EP. P.S. С возвращением) |
|
|
Создано: 11 сентября 2010 22:32 · Поправил: zeppe1in · Личное сообщение · #3 PE_Kill пишет: При инжекте длл в процесс через CreateRemoteThread начинает выполняться p-code и длл при этомне грузится. а потом если сделать Resume основному потоку то выполняется загрузка длл). хз почему так происходит. Причом у Курапицы на вин7 эта схема работает нормально. я не тестил. Инжект через подмену контекста основной нити работает на ура. вот попробуй мою поделку трейсер) ну и свою длл сможеш заинжектить. int на еп нифига не останавливается ----- zzz |
|
|
Создано: 11 сентября 2010 22:42 · Поправил: PE_Kill · Личное сообщение · #4 int пишет: Ну там на EP вызывается функция из mscoree.dll (точно также как в VB вызывается ВМ), ибо файл прежде всего формата PE. В том то и дело, что не вызывается, до EP не доходит, сразу после загрузки mscoree.dll начинает выполняться p-code. int пишет: Если нет проверок CRC, можно зайнлайнить. CRC нет, но при изменении байткода файл вываливается в ошибку. Это вроде встроеная защита .NET если не ошибаюсь. В любом случае софт часто обновляется, нужен лодырь. int пишет: Если именно лоадер, то ставим цикл на EP. Хз как ставить, попробывал зациклить EBFE на еп, вывалило --------------------------- NET Framework Initialization Error --------------------------- Unable to find a version of the runtime to run this application. --------------------------- ОК --------------------------- ----- Yann Tiersen best and do not fuck |
|
|
Создано: 11 сентября 2010 22:45 · Личное сообщение · #5 Запустить под отладкой, потом отцепиться (детач). Нет? |
|
|
Создано: 11 сентября 2010 22:51 · Личное сообщение · #6 PE_Kill пишет: Debug API - слишком муторно и не люблю юзать не по назначению. Посмотрел код zeppe1in - работает, только я пока не вкурил как контекст восстанавливается, старею. zeppe1in может сорсов докинешь? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 11 сентября 2010 22:56 · Личное сообщение · #7 |
|
|
Создано: 11 сентября 2010 22:58 · Личное сообщение · #8 О блин, только хотел написать что в иде уже разобрал всё. Но всё равно спасибо. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 11 сентября 2010 23:10 · Личное сообщение · #9 |
|
|
Создано: 11 сентября 2010 23:38 · Личное сообщение · #10 Clerk ну мне как бы уже давно теория не интересна, сейчас несколько иные интересы. Там в .NET надо вникать так же, как в PE, очень много заморочек. Только вот целесообразности нет, если каждый день дела не имеешь. В любом случае всем спасибо за помощь. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 13 сентября 2010 09:07 · Личное сообщение · #11 офтоп: не из-за arteester'a сыр-бор? |
|
|
Создано: 18 сентября 2010 16:14 · Личное сообщение · #12 Через подмену в IAT на mscoree.dll будет тебе щастье ----- have a nice day |
|
eXeL@B —› Программирование —› Лоадер для .NET приложения (Hook API) |
Для печати