Вопрос по базонезависимому коду [c++] - eXeL@B

Сейчас на форуме: zds, UniSoft (+5 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
_or_75 Ранг: 9.9 (гость), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 17 января 2013 02:56 · Поправил: _or_75 · Личное сообщение · #1 Вообщем есть такой вопрос можно ли считать это базонезависимым кодом ? Code: #include <Windows.h> typedef HMODULE (WINAPI* _LoadLibraryW)(LPCWSTR lpFileName); typedef int (__stdcall* _MessageBoxW)(HWND,LPCWSTR,LPCWSTR,UINT); #pragma comment(linker, "/ENTRY:WinMain") DWORD Kernel32Addr() { DWORD lpReturn = 0; __asm { mov ebx, fs:[0x30] // PEB mov ebx, [ebx + 0x0C] // PEB->Ldr mov ebx, [ebx + 0x14] // PEB->Ldr.InMemoryOrderModuleList.Flink (1st entry) mov ebx, [ebx] // 2nd entry mov ebx, [ebx] // 3rd entry mov ebx, [ebx + 0x10] // 3rd entries base address (kernel32.dll) mov lpReturn, ebx } return lpReturn; } DWORD FunctionAddr(DWORD dwModule, char* szFunction) { PIMAGE_DOS_HEADER DosHeader = NULL; PIMAGE_NT_HEADERS NtHeaders = NULL; PIMAGE_EXPORT_DIRECTORY ExportDirectory = NULL; DWORD dwArray = 0; DWORD dwAddress = 0; DWORD dwName = 0; WORD wOrdinal = 0; DWORD dwFunction = 0; int i = 0; if (dwModule == 0) return 0; DosHeader = (PIMAGE_DOS_HEADER) dwModule; if (DosHeader->e_magic != IMAGE_DOS_SIGNATURE) return 0; NtHeaders = (PIMAGE_NT_HEADERS) ((DWORD) dwModule + DosHeader->e_lfanew); if (NtHeaders->Signature != IMAGE_NT_SIGNATURE) return 0; if(NtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress == 0) return 0; ExportDirectory = (PIMAGE_EXPORT_DIRECTORY) ((DWORD) dwModule + NtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); for(i = 0; i < ExportDirectory->NumberOfNames - 1; i++) { dwArray = (DWORD)(dwModule + ExportDirectory->AddressOfNames + (i * sizeof(DWORD))); dwName = (DWORD)(dwModule + (DWORD)(PDWORD)dwArray); if (strcmp((LPSTR)dwName, szFunction) == 0) { dwArray = ExportDirectory->AddressOfNameOrdinals + (i sizeof(WORD)); wOrdinal = (WORD) (PDWORD)(dwModule + dwArray); dwArray = ExportDirectory->AddressOfFunctions + (wOrdinal sizeof(DWORD)); dwFunction = (DWORD)(dwModule + (PDWORD)(dwModule + dwArray)); } } return dwFunction; } int* WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow) { DWORD hKernel32 = Kernel32Addr(); _LoadLibraryW __LoadLibraryW = (_LoadLibraryW) FunctionAddr(hKernel32, "LoadLibraryW"); DWORD hUser32 = (DWORD) __LoadLibraryW(L"user32.dll"); _MessageBoxW __MessageBoxW = (_MessageBoxW) FunctionAddr(hUser32, "MessageBoxW"); __MessageBoxW(0, L"exelab.ru", L"lol!", MB_OK); return 0; } И можно ли его как нибудь превратить в shell код и запустить его примерно такого ввида Code: int main(int argc, char* argv[]) { unsigned char ShellCode[] = "\x90\x90\x90....."; void exec = VirtualAlloc(0, sizeof* ShellCode, MEM_COMMIT, PAGE_EXECUTE_READWRITE); memcpy(exec, ShellCode, sizeof ShellCode); ((void(*)())exec)(); } если да то как?

_or_75 Ранг: 9.9 (гость), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 16 марта 2013 08:02 · Личное сообщение · #2 Еще один вопрос, как на c++ проверить NET это файл или нет?
Alchemistry Ранг: 145.8 (ветеран), 191thx Активность: 0.14↗0.36 Статус: Участник	Создано: 16 марта 2013 08:17 · Личное сообщение · #3 _or_75 http://www.rsdn.ru/article/files/Progs/dllinfo.xml \| Сообщение посчитали полезным: _or_75
_or_75 Ранг: 9.9 (гость), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 16 марта 2013 15:17 · Поправил: _or_75 · Личное сообщение · #4 Ну так вот, делаю для своих нужд небольшую программу для заражения файлов своим кодом, столкнулся с такой проблемой, у некоторых файлов случайные базовые адреса и пихать туда код бесполезно, может как ни будь это можно убрать или проверить хоть как то. Собственно если в MVC скомпилировать программу с параметром "/DYNAMICBASE", то заражение файла бесполезно, вот думаю как из за заголовка это убрать.
_or_75 Ранг: 9.9 (гость), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 16 марта 2013 16:51 · Личное сообщение · #5 Вообщем решил так: if(imNTh->OptionalHeader.DllCharacteristics) {your code here}
hors Ранг: 136.0 (ветеран), 360thx Активность: 0.27↘0.14 Статус: Участник Qt Developer	Создано: 16 марта 2013 16:55 · Личное сообщение · #6 _or_75 пишет: у некоторых файлов случайные базовые адреса и пихать туда код бесполезно Почему бесполезно? Все тоже самое. А ImageBase находится через GetModuleHandle или из PEB. ----- http://ntinfo.biz
_or_75 Ранг: 9.9 (гость), 1thx Активность: 0.01↘0 Статус: Участник	Создано: 16 марта 2013 17:07 · Личное сообщение · #7 hors пишет: Почему бесполезно? Все тоже самое. А ImageBase находится через GetModuleHandle или из PEB. Мне легче снять её и все и все защита сама отпадет: Code: if(imNTh->OptionalHeader.DllCharacteristics) { imNTh->OptionalHeader.DllCharacteristics = 0; }
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 16 марта 2013 19:07 · Личное сообщение · #8 Всего 2 строчки кода, а от каждой глаза сами плачут кровавыми слезами. И вся эта околовирусная тематика уже несколько затянулась, пора и закрыть. \| Сообщение посчитали полезным: _or_75, 00

<< . 1 . 2 .

Для печати

Для печати