Привет всем, помогите, пожалуйста:

Нужно выполнить стандартную процедуру:
1. Запустить ехе файл и подменить пару байт в нем
За основу был взят код:


Под х32 все замечательно работает, под х64 процесс стартует, но замены не происходит.
При этом VirtualProtect возвращает под х32 STATUS_OK, а под х64 - 0
А вот чтение/запись - ошибка.

| Сообщение посчитали полезным:

Попробуй перед WriteProcessMemory выполнить
VirtualProtectEx (pi.hProcess, Pointer($403CEA),NewDataSize,PAGE_EXECUTE_READWRITE,bytesread)
хотя х.з на 64 это сработает или нет!?

| Сообщение посчитали полезным:

Кодес коряв тем, что не меняет атрибуты памяти+не учитывает, что база может измениться. Возможно, дело в одном из этого. Возможно, в другом, бери да смотри коды ошибок натив-функций.

| Сообщение посчитали полезным: void

Спасибо, попробовал:

//нужно записать байты в область в 4кб, начиная от начала секции кода
Status:=Windows.VirtualProtectEx(pi.hProcess,@00401000,$1000,PAGE_EXEC UTE_READWRITE,@SavedFlags);

На выходе статус = True.
Сам лоадер и процесс, запускаемый из-под него - 32 битные

ReadProcess не работает...
Может размеры указателей надо не DWORD , а больше?

Сейчас проверю в отладчике

| Сообщение посчитали полезным:

При старте в отладчике:
ошибка вызова ntdll.NtProtectVirtualMemory = 0xC0000018 (STATUS_CONFLICTING_ADDRESSES)
Дохожу сюда:




Кстати, ни Yoda лоадер, ни DuP тоже стартуют процесс нормально, но не могут поменять байтики в процессе, ибо чтение байт по офсету нужному ничего не дает...

| Сообщение посчитали полезным:

Во-первых, ImageBase explora обычно равен 1000000. Во-вторых, читать\писать из 32 битн в 64 разве можно?? По факту это две разные архитектуры

| Сообщение посчитали полезным:

'Example.exe'
Сам лоадер и процесс, запускаемый из-под него - 32 битные
Ты читал топик то?

| Сообщение посчитали полезным:

Archer
Привычка все быстро читать(даже с ошибками)!
А по поводу почему ReadProcMem не работает-можно GetLastError попробовать поставить. Лоадер же из под учетки админа стартует?

| Сообщение посчитали полезным:

Он сам стартует дочерний процесс, для этого не нужен админ, чтобы писать/читать в/из него.

| Сообщение посчитали полезным:

ну это само собой. Дело в том что когда я разбирал вопрос почему в висте 32 (насчет 7 не знаю) taskman без админ прав видит больше процессов чем PeTools, оказалось, что на висте в OpenProcess совсем другая маска по доступу идет. Подумал что может связано как-то(косвенно).
Одним словом, пока сам не посмотриш, сложно сказать что-то определеное.

| Сообщение посчитали полезным:

Loader стартую в контексте админских прав.

Пробовал читать по 1 байту, по килобайту....
Попробую перебрать параметры VirtualProtectEx

GetLastError = 0x000001E7 (Attempt to access invalid address.) = ERROR_INVALID_ADDRESS 487

| Сообщение посчитали полезным:

Loader стартую в контексте админских прав.

Пробовал читать по 1 байту, по килобайту....
Попробую перебрать параметры VirtualProtectEx

GetLastError = 0x000001E7 (Attempt to access invalid address.) = ERROR_INVALID_ADDRESS 487
Ну покажи ещё раз код, может ты до сих пор не учитываешь что-то из перечисленного Арчером

| Сообщение посчитали полезным:

Похоже, нашел проблему...
при старте процесса под х32,
VirtualProtectEx(pi.hProcess,@00401000,$1000,....
адресация памяти в загружаемом процессе начинается как и при простом старте , от 401000..
А под х64 , процесс, несмотря на начало секции кода с 401000, смещен на 0x980000, т.е. адреса, которые надо читать и маппить будуь x+0x980000 (секция кода начинается с 0x401000+0x980000).
Отсюда и ошибки в протекте и, соответственно в чтении.

Вопрос только, как программно из лоадера узнать это смещение.
При каждом старте из лоадера, Image Base смещен на определенное значение, каждый раз разное.
Как узнать, с какого адреса загружен ехе?

GetModuleHandle возвращает родной ImageBase.

| Сообщение посчитали полезным:

Sumeru как GetModuleHandle может вернуть тебе родной ImageBase, если эта апи работает с текущими модулями а ты работаешь с чужим процессом?

Тебе нужны --> апи перечисления процессов <-- ну или накрайняк через ReadProcessMemory пройдись по страничкам и найди страницу с PE Header'ом твоего подопытного exe

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Это релоцирование не привязано к х64, а будет работать на всех ОС>=висты, в том числе и на х86 тоже. И если бы ты читал посты выше, меньше бы было проблем, об этом косяке в кодесе я написал во 2 посте.

| Сообщение посчитали полезным:

Sumeru пишет:
Как узнать, с какого адреса загружен ехе?
Воспользуйся NtQueryInformationProcess, прочитай пеб процесса, в нём содержится ImageBase по которому процесс загрузился

| Сообщение посчитали полезным:

PE_Kill пишет:
накрайняк через ReadProcessMemory пройдись по страничкам и найди страницу с PE Header'ом твоего подопытного exe
Намного умнее, чем париться с перечислением всего по TlH/NtQ/ZqQ/Ps... Но есть вариант проще (при условии, что секция кода первая):
getthreadcontext(...,context)
code_base=context. - OEP

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

В suspend режиме eip не будет равно oep, eip будет в недрах kernel или ntdll

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
А кто-то разве сказал про EIP ? Спецом смайлик поставил, что кому надо, тот найдет. Фишка еще с доса, кажись.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

> Как узнать, с какого адреса загружен ехе?
RtlPcToFileHeader(), LdrFindEntryForAddress().

> code_base=context.
В произвольный момент времени в контексте потока данной инфы нет. Она там есть пока поток не начал исполняться вновь созданный.

> getthreadcontext(...,context)
ThreadQuerySetWin32StartAddress.

> ERROR_INVALID_ADDRESS
Причины:
STATUS_NOT_MAPPED_VIEW
STATUS_NOT_MAPPED_DATA
STATUS_NOT_COMMITTED
STATUS_UNABLE_TO_DECOMMIT_VM
STATUS_FREE_VM_NOT_AT_BASE
STATUS_MEMORY_NOT_ALLOCATED

| Сообщение посчитали полезным:

Clerk пишет:
LdrFindEntryForAddress

Ахтунг. Мало того что она недокументированная так по функционалу все что она делает это смотрит первый модуль из Peb->Ldr->InLoadOrderModuleList.

Clerk пишет:
RtlPcToFileHeader

Дабл ахтунг.

Весь ее пэйлоад это вызов в локе
NtHeaders = RtlImageNtHeader(Base); где Base опять же из того же Peb->Ldr->InLoadOrderModuleList

Вот скажи мне какой смысл городить вот это недокументированное болото в обычной программе?


Есть официальный - документированный и рабочий метод.
psapi.dll -> EnumProcessModules/GetModuleInformation.

По смыслу оно сделает тоже самое что ты тут предложил - НО - у этого не будет никаких проблем с совместимостью. Чувствую вопли типа "какая есчо несовместимость эта системные функи".
Системным функам место в ntdll.dll и в натив приложениях в нормальных программах в импорте их быть не должно.

| Сообщение посчитали полезным:

Че то клерка опять понесло. Уже определили что образ мапится не на свою базу, нафига перечислять причины ERROR_INVALID_ADDRESS да еще и хардкод предлагать для безобидного лодыря.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

А что мешает сделать так:
CreateProcess(fpath, 0,0,0,0,DEBUG_PROCESS, 0,0, &sinfo, &pinfo)
while(1){
switch (de.dwDebugEventCode){
case CREATE_PROCESS_DEBUG_EVENT:
imagebase = (ULONG_PTR)de.u.CreateProcessInfo.lpBaseOfImage;

| Сообщение посчитали полезным: huckfuck

Это довольно хреновое решение для лодыря, т.к. нужно будет висеть над жертвой до ее завершения, прятаться от обнаружения антидебаг трюками (для криптора так еще и драйвер нужно будет делать по хорошему) да и юзать дебагер для патча пары байт это ахтунг.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

При создании процесса с опцией suspend загруженная ImageBase будет в EBX.

| Сообщение посчитали полезным:

Это не догма. Для вирусов еще пойдет, для всего остального нет. Знаю случаи когда в регистрах мусор а адрес на стеке (на EP) ведет вовсе не в kernel или ntdll.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Это довольно хреновое решение для лодыря, т.к. нужно будет висеть над жертвой до ее завершения, прятаться от обнаружения антидебаг трюками (для криптора так еще и драйвер нужно будет делать по хорошему) да и юзать дебагер для патча пары байт это ахтунг.
так вроде ж как можно и не висеть. Достаточно "дойти" до ЕР/TLS(антиотладка не успеет активизироваться), подсмотреть по какому адресу загружена база, после чего сделать детач, а дальше по сценарию: ReadProcessMemory/WriteProcessMemory. Насчёт PEB.BeingDebugged не могу сказать останется ли флажок выставленным после детача или нет, но обычно никаких проблем с его снятием не было.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Зачем висеть? Получил imagebase и закрыл, а дальше как обычно.

Вариант 2
CreateProcess(fpath, 0,0,0,0,CREATE_SUSPENDED, 0,0, &sinfo, &pinfo)
ResumeThread(pinfo.hThread);
do{
Sleep(10);
}while(0==context.Eip);
по context.Eip вычисляем imagebase

| Сообщение посчитали полезным:

DebugActiveProcessStop поддерживается исключительно начиная с Windows XP. Ожидание контекста процесса не всегда приемлимо, уж лучше инжектить код в выделенную память, чтобы он сам внутри процесса всё сделал.

Хе хе, по поводу получить список модулей в замороженном процессе я погорячился, оказывается в замороженном состоянии PEB почти не инициализирован, а LDR_DATA вообще NULL.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Накидал оптимизированный сканер памяти, для поиска exe по сигнатуре. В атаче лодырь и жертва. Лодырь грузит жертву в саспенд, сканирует ее память и проверяет MEM_IMAGE странички на принадлежность нашей жертве.

ef5e_01.03.2011_CRACKLAB.rU.tgz - test.rar

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: