Программа работает только внутри отладчика

Сейчас на форуме: zombi-vadim, zds (+4 невидимых)

<< . 1 . 2 . 3 . 4 . >>

Посл.ответ	Сообщение
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 23 сентября 2013 20:27 · Поправил: Envy12 · Личное сообщение · #1 Есть код: Code: proc check ;invoke RegisterHotKey,0,1,0x0004,0x41 ;invoke RegisterHotKey,0,2,0x0004,0x4c start3: invoke AdjustTokenPrivileges,[phToken],0,PrivilegeCount ,0,0,0 mov [prcs.dwSize],sizeof.PROCESSENTRY32 invoke CreateToolhelp32Snapshot, TH32CS_SNAPPROCESS, 0 mov [hSnapshot], eax invoke Process32First,eax,prcs mov edi,[memhandle2] loop1: invoke GetMessage,msg,0,0,0 cmp ecx,1 je stop mov eax,[edi] cmp dword [prcs.szExeFile],eax jnz kill2 add edi,4 next: invoke Process32Next,[hSnapshot],prcs cmp eax,0 jne loop1 jmp start3 kill2: stdcall kill1 jmp next stop: invoke GetMessage,msg,0,0,0 cmp ecx,2 jnz next invoke Sleep,1200000 jmp next ret endp Первые 2 стркои закоментил тк с ними функция отказывается работать вне отладчика, без них все ок, как в отладчике так и без. В чем тут дело?

Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 12 октября 2013 21:36 · Личное сообщение · #2 DenCoder пишет: 1. Где код инжекта с CreateRemoteThread() ? 0x6873114000c3
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 12 октября 2013 22:18 · Поправил: DenCoder · Личное сообщение · #3 Envy12 пишет: 0x6873114000c3 это Code: push 00401173 retn Не вижу ничего общего с инжектом. Кто-нибудь видит? ) ----- IZ.RU
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 13 октября 2013 01:22 · Личное сообщение · #4 DenCoder Дайте ответ плз на мой вопрос. На ваш я ответить не могу, ибо не понимаю решений по сабжу, вероятно андок создан для ограничений доступа к потенциально опасным апи. Хотя в реале это ничего не меняет, но как я и сказал это наиболее вероятно.
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 13 октября 2013 01:22 · Личное сообщение · #5 Envy12 Вам что запилить нормальный код для инжекта ?
ClockMan Ранг: 568.2 (!), 465thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 13 октября 2013 02:18 · Личное сообщение · #6 Dr0pЗапели,запели покажи нам кузькину мать! ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 13 октября 2013 02:28 · Личное сообщение · #7 ClockMan Что это значит ? Я щас трезвый(к сожаленью всюду обломы :s9, так что можем обсудить норм что хотите.
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 02:32 · Личное сообщение · #8 Запилить любой из нас может. А вот научить ----- IZ.RU \| Сообщение посчитали полезным: Dr0p, ClockMan
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 13 октября 2013 02:39 · Личное сообщение · #9 DenCoder Для этого нужно терпение, которое есть не у всех. Особенно у меня
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 04:38 · Поправил: DenCoder · Личное сообщение · #10 Envy12 А собственно по сабжу (с 29го поста 1й страницы) наиболее вероятный ответ - ты отлаживаешь пошагово, поэтому получается отлаживаешь один поток. И естественно, всё будет работать правильно, пока не переключиться на другой поток(не тот, который удалённый) Чтобы убедиться в этом, проведём эксперимент: грузим в олли notepad.exe(часто люблю его мучать), инлайним такой код Code: CPU Disasm Address Hex dump Command Comments 0100739D 31C0 XOR EAX, EAX 0100739F 8D4CE4 E4 LEA ECX, [ESP-1C] 010073A3 51 PUSH ECX 010073A4 50 PUSH EAX 010073A5 50 PUSH EAX 010073A6 50 PUSH EAX 010073A7 68 C6730001 PUSH notepad.010073C6 010073AC 50 PUSH EAX 010073AD 50 PUSH EAX 010073AE E8 2493807B CALL CreateThread 010073B3 5C POP ESP 010073B4 8344E4 08 08 ADD DWORD PTR [ESP+8], 8 010073B9 E8 1993807B CALL CreateThread 010073BE FF05 00900001 INC DWORD PTR [1009000] 010073C4 ^ EB F8 JMP SHORT 010073BE 010073C6 FF05 04900001 INC DWORD PTR [1009004] 010073CC ^ EB F8 JMP SHORT 010073C6 010073CE FF05 08900001 INC DWORD PTR [1009008] 010073D4 ^ EB F8 JMP SHORT 010073CE Что мы должны получить, делая всё время Step Over? По идее значения по трём адресам должны увеличиваться. Но на деле это оказывается совсем не так, когда доходим до адреса 010073BE - продолжает увеличиваться только значение по адресу 1009000, и даже более того - создан второй поток, а третий никак не появится, сколько бы мы шагов не делали. Но поставим бряк на 10073ce и отпустим - третий поток создался и даже увеличилсь две переменных. Отпустим ещё раз - значение одной переменной увеличится на один, а у второй может как вообще не измениться, так измениться на несколько больше. Продолжим опять по шагу - увеличиваться будет только одна переменная... Забавляйся и скажи почему? P.S. Всё будет так, наверное только если кол-во ядер > 1 ----- IZ.RU
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 13 октября 2013 14:14 · Личное сообщение · #11 DenCoder > Всё будет так, наверное только если кол-во ядер > 1 Не имеет значения сколько камней(какой аффинитет).
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 13 октября 2013 15:20 · Поправил: Envy12 · Личное сообщение · #12 DenCoder пишет: Не вижу ничего общего с инжектом. Кто-нибудь видит? ) Этот код я записываю в память процесса и запускаю с помощью CreateRemoteThread. Dr0p пишет: Вам что запилить нормальный код для инжекта ? Было бы неплохо DenCoder пишет: инлайним такой код Понятие инлайн имеет что-нибудь общее с тем что я делаю(createremotethread), или это совсем не то?
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 15:38 · Личное сообщение · #13 Envy12 пишет: Этот код я записываю в память процесса и запускаю с помощью CreateRemoteThread. Так пока ты не покажешь полностью код, все части, тебе никто не сможет сказать точно, где ошибка. Чего ты стремаешься, думаешь твою разработку украдут? Таких "разработок" полно, у каждого своих по 2-3. Сами по себе в данный момент они уже ни имеют никакой ценности. Envy12 пишет: Dr0p пишет:Вам что запилить нормальный код для инжекта ? Было бы неплохо Ты создал топик, чтобы тебе готовый работающий код дали? Или чтобы разобраться в своём? Ну дадут тебе код, и дальше что? Ты же не понимаешь принципов. И будут те же ошибки. Envy12 пишет: Понятие инлайн имеет что-нибудь общее с тем что я делаю(createremotethread) для проверки небольших кусков кода на асме мне удобно прямо в ольке писать ----- IZ.RU
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 13 октября 2013 16:10 · Личное сообщение · #14 DenCoder Всмысле полный код? Если код инжекта, то я могу показать: Code: Func _injectstop() $pid = ProcessExists('checker1.exe') $hopen = DllCall("Kernel32.dll", "int", "OpenProcess", "int", 0x1F0FFF, "int", 1, "int", $pid) $halloc = DllCall('kernel32.dll', "ptr", "VirtualAllocEx", "HANDLE", $hopen[0], "ptr", 0, "ULONG_PTR", '6', "DWORD", 0x00001000, "DWORD", 0x40) $code = '0x6873114000c3' $inject = DllStructCreate('byte[6]') DllStructSetData($inject, 1, $code) $write = DllCall('kernel32.dll', "bool", "WriteProcessMemory", "int", $hopen[0], "int", $halloc[0], "int", DllStructGetPtr($inject), "int", DllStructGetSize($inject), "int", 0) DllCall('kernel32.dll', "int", "CreateRemoteThread", "int", $hopen[0], "int", 0, "int", 0, "int", $halloc[0], "ptr", 0, "int", 0, "int", 0) EndFunc Конечно, лучше разобраться, но и против готового результата я ничего не имею.
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 16:38 · Личное сообщение · #15 Какой-то скрипт... перевожу на понятный Code: /Код проверки, есть ли процесс checker1.exe и получения его ид/ DWORD pid = ProcessExists(checker1.exe); HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, pid); void* halloc = VirtualAllocEx(hProcess, NULL, 6/длина кода инжекта/, MEM_COMMIT, PAGE_EXECUTE_READWRITE); WriteProcessMemory(hProcess, halloc, "\x68\x73\x11\x40\x00\xc3"/*push 00401173; retn*/, 6, NULL); CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)halloc, NULL, 0, NULL); С натяжкой можно назвать инжектом То есть то, что было в коде, мы извне создаём для этого ещё один поток, чтобы оно выполнялось в двух потоках )) 401173 - это адрес какой функции? ----- IZ.RU
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 13 октября 2013 16:51 · Личное сообщение · #16 DenCoder пишет: 401173 - это адрес какой функции? Это адрес функции pause1.
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 17:03 · Личное сообщение · #17 Ну а теперь скажи, чего ты хочешь добиться этим кодом? И в чём по-твоему ошибка? ----- IZ.RU
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 13 октября 2013 17:19 · Личное сообщение · #18 Я хочу чтобы прога останавливалась, когда мне надо, пробовал хоткеи - не вышло, теперь пытаюсь инжектами. Ошибка наверно в том что нельзя остановить главный поток.
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 17:21 · Поправил: DenCoder · Личное сообщение · #19 У тебя нет потоков, которые бы нельзя было остановить. Подумай, прав ли Archer --> здесь <-- ? Самый элементарный способ проверки удачи инжекта - в диспетчере задач посмотреть, сколько потоков у checker1.exe ----- IZ.RU
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 13 октября 2013 17:35 · Поправил: SReg · Личное сообщение · #20 как вариант: Code: hThread := CreateRemoteThread(....); if WaitForSingleObject(hThread, 1000) = WAIT_OBJECT_0 then if GetExitCodeThread(hThread, ExitCode) then Result := ExitCode;
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 13 октября 2013 17:36 · Личное сообщение · #21 Щас глянул, потоков после инжекта - 2. Тогда я думал что мимо проходит, щас я понял, просто поток не останавливается и все.
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 13 октября 2013 17:56 · Личное сообщение · #22 Приаттачься отладчиком к чекеру, посмотри, что каждый поток в данный момент делает. ----- IZ.RU
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 14 октября 2013 15:51 · Личное сообщение · #23 Может я не так смотрю, но у меня в отладчике все ок.
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 18 октября 2013 13:16 · Личное сообщение · #24 Если отладчик вносит изменения в ход выполнения программы, логируй ----- IZ.RU
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 19 октября 2013 10:53 · Личное сообщение · #25 Вот простейший инжект в блокнот. db8e_19.10.2013_EXELAB.rU.tgz - Ij.zip
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 19 октября 2013 11:05 · Поправил: DenCoder · Личное сообщение · #26 Envy12 пишет: Я хочу чтобы прога останавливалась, когда мне надо, пробовал хоткеи - не вышло, теперь пытаюсь инжектами. Ошибка наверно в том что нельзя остановить главный поток. Я понял, что надо автору Изначально хоткиями автор хотел, чтобы нажал клавишу и - программа остановилась, нажал другую - поехала дальше. Но ввиду недостатков знаний не вышло. Поэтому решил сделать без хоткиев (но видимо также по нажатию клавиш), на инжектах - та же самая история. Ну реальное решение, и правда, NtSuspendProcess. Хотя у него всего один поток - тогда и SuspendThread сойдёт. Хотя я так никогда не делаю. Весь код, который нуждается в своевременной паузе или полной остановке, выношу в отдельный поток. Для паузы и стопа создаю 2 евента (hEvtPause = CreateEvent(...)), а также ещё один, чтобы снять с паузы и уже по нажатию кнопок один из евентов сигналит о нужном действии(SetEvent(hEvtPause)), что принимает работающий поток Code: HANDLES EventHandles[2]; EventHandles[0] = hEvtPause; EventHandles[1] = hEvtStop; do { DWORD dwObj = WaitForMultipleObjects(2, EventHandles, FALSE, 0); if(dwObj != WAIT_TIMEOUT) if(dwObj == WAIT_OBJECT_0) WaitForSingleObject(hEvtResume, INFINITE); else break; }while(true); //... //... ----- IZ.RU
dosprog Ранг: 431.7 (мудрец), 390thx Активность: 0.73↘0.32 Статус: Участник	Создано: 19 октября 2013 14:16 · Поправил: dosprog · Личное сообщение · #27 DenCoder пишет: Я понял, что надо автору -- к сожалению, что ему надо - можно только угадывать... -- я вот думал, что вопрос с хоткеями успешно решён. Наверное, не угадал... Ну ничего себе - или сделать просто хоткеи, или сделать инжект - есть разница? UniSoft вот очень аккуратный пример выложил. Прямо-таки красивый.
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 19 октября 2013 20:30 · Поправил: Dr0p · Личное сообщение · #28 DenCoder > NtSuspendProcess. Хотя у него всего один поток - тогда и SuspendThread сойдёт. Второй раз повторяю, останавливать треды нельзя. У вас второй поток с большой вероятностью вызовет дедлок. Это отладочные апи. > создаю 2 евента Прежде чем лезть в ось, ознакомся с её обьектами. Хотя бы с синхропримитивами. EventPair есть, хотя вам он не знаком
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 19 октября 2013 20:36 · Личное сообщение · #29 Envy12 > Я хочу чтобы прога останавливалась И зачем это нужно ? Можно и ось остановить, но что делать дальше ?
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 21 октября 2013 10:13 · Личное сообщение · #30 Dr0p пишет: Прежде чем лезть в ось, ознакомся с её обьектами. Хотя бы с синхропримитивами. EventPair есть, хотя вам он не знаком Да, адекватности тебе не занимать. Изыди, троль ----- IZ.RU
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 21 октября 2013 16:09 · Поправил: Модератор · Личное сообщение · #31 DenCoder Это ты троль. У тебя самые поверхностные знания, ты бро обычо советуешь фигню, не шаря в вопросах. Я это очень давно заметил. Никто вменяемый треды суспендить не посоветует. И вручную реализовать обьекты ядра тоже. Code: NTSYSCALLAPI NTSTATUS NTAPI NtCreateEventPair ( __out PHANDLE EventPairHandle, __in ACCESS_MASK DesiredAccess, __in_opt POBJECT_ATTRIBUTES ObjectAttributes ); NTSYSCALLAPI NTSTATUS NTAPI NtOpenEventPair ( __out PHANDLE EventPairHandle, __in ACCESS_MASK DesiredAccess, __in POBJECT_ATTRIBUTES ObjectAttributes ); NTSYSCALLAPI NTSTATUS NTAPI NtWaitLowEventPair ( __in HANDLE EventPairHandle ); NTSYSCALLAPI NTSTATUS NTAPI NtWaitHighEventPair ( __in HANDLE EventPairHandle ); NTSYSCALLAPI NTSTATUS NTAPI NtSetLowWaitHighEventPair ( __in HANDLE EventPairHandle ); NTSYSCALLAPI NTSTATUS NTAPI NtSetHighWaitLowEventPair ( __in HANDLE EventPairHandle ); NTSYSCALLAPI NTSTATUS NTAPI NtSetLowEventPair ( __in HANDLE EventPairHandle ); NTSYSCALLAPI NTSTATUS NTAPI NtSetHighEventPair ( __in HANDLE EventPairHandle ); Это базовый примитив синхронизации и апи для его юзания. Они никогда не менялись и никогда не изменются. А андоки и прочая ... это сугубо твоя паранойя. ps: GetProcAddress(ntdll, "Zw*") нормальным считают тока те, кто ваще ... не понимает в нашей теме

<< . 1 . 2 . 3 . 4 . >>

Для печати