Работа с PEB

Сейчас на форуме: zombi-vadim, zds (+4 невидимых)

Посл.ответ	Сообщение
MickeyBlueEyes Ранг: 51.6 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 08 ноября 2013 09:00 · Личное сообщение · #1 Пытаюсь скрыть dll в процессе. Выкидываю звено из пеба Code: Entry -> Blink -> Flink = Entry -> Flink; IdaPro не видит имя файла, но пустое имя есть в списке, где то храниться количество загруженных dll? Или что то забыл выкинуть? Может Vad?

Enigma Ранг: 88.3 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 08 ноября 2013 09:46 · Личное сообщение · #2 Что если dll просто инжектить в процесс или самому мапить ее в процессе, тогда ее и в PEB просто не будет.
MickeyBlueEyes Ранг: 51.6 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 08 ноября 2013 10:06 · Личное сообщение · #3 Ну я её инжектю, и в PEB присутствует.
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 08 ноября 2013 10:31 · Поправил: Dr0p · Личное сообщение · #4 MickeyBlueEyes Там 3 списка. > Может Vad? Именно. Это проекция файловой секции. NtQueryVM(MemoryMappedFilenameInformation) вернёт имя файла. Нужна загрузка из памяти. Ну а по нормальному - модуль из памяти грузится, затем выгружается без освобождения проекции. Берите LWE. Там нтлдр переносится в буфер и модифицируется для эмуляции секций. Вам нужно в этом буфере изменить NtUnmapViewOfSection, просто скипать её. Тогда вызываем в буфере LdrUnloadDll() и модуль будет полностью скрыт. \| Сообщение посчитали полезным: MickeyBlueEyes
MickeyBlueEyes Ранг: 51.6 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 08 ноября 2013 10:47 · Личное сообщение · #5 Спасибо большое, всё понятно, только если можно что там по поводу 3х списков? Есть еще пару списков?
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 08 ноября 2013 11:01 · Личное сообщение · #6 MickeyBlueEyes Опенсурсно.
Nightshade Ранг: 241.9 (наставник), 107thx Активность: 0.14↘0.01 Статус: Участник	Создано: 08 ноября 2013 11:44 · Поправил: Nightshade · Личное сообщение · #7 В инете полно кодесов типа такого Code: void EraseHeaders(HINSTANCE hModule1) { PIMAGE_DOS_HEADER pDoH; PIMAGE_NT_HEADERS pNtH; DWORD i, ersize, protect; if (!hModule1) return; pDoH = (PIMAGE_DOS_HEADER)(hModule1); pNtH = (PIMAGE_NT_HEADERS)((LONG)hModule1 + ((PIMAGE_DOS_HEADER)hModule1)->e_lfanew); ersize = sizeof(IMAGE_DOS_HEADER); if ( VirtualProtect(pDoH, ersize, PAGE_READWRITE, &protect) ) { for ( i=0; i < ersize; i++ ) (BYTE)((BYTE)pDoH + i) = 0; } ersize = sizeof(IMAGE_NT_HEADERS); if ( pNtH && VirtualProtect(pNtH, ersize, PAGE_READWRITE, &protect) ) { for ( i=0; i < ersize; i++ ) (BYTE)((BYTE)pNtH + i) = 0; } return; } typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; PWSTR Buffer; } UNICODE_STRING, PUNICODE_STRING; typedef struct _ModuleInfoNode { LIST_ENTRY LoadOrder; LIST_ENTRY InitOrder; LIST_ENTRY MemoryOrder; HMODULE baseAddress; unsigned long entryPoint; unsigned int* size; UNICODE_STRING fullPath; UNICODE_STRING name; unsigned long flags; unsigned short LoadCount; unsigned short TlsIndex; LIST_ENTRY HashTable; unsigned long timestamp; } ModuleInfoNode, pModuleInfoNode; typedef struct _ProcessModuleInfo { unsigned int* size; unsigned int initialized; HANDLE SsHandle; LIST_ENTRY LoadOrder; LIST_ENTRY InitOrder; LIST_ENTRY MemoryOrder; } ProcessModuleInfo, pProcessModuleInfo; #define UNLINK(x) (x).Blink->Flink = (x).Flink; \ (x).Flink->Blink = (x).Blink; int* HideModule( HMODULE hMod ) { ProcessModuleInfo pmInfo; ModuleInfoNode module; _asm { mov eax, fs:[18h] mov eax, [eax + 30h] mov eax, [eax + 0Ch] mov pmInfo, eax } module = (ModuleInfoNode )(pmInfo->LoadOrder.Flink); while(module->baseAddress && module->baseAddress != hMod){ module = (ModuleInfoNode )(module->LoadOrder.Flink);} if(!module->baseAddress){ return 0;} UNLINK(module->LoadOrder); UNLINK(module->InitOrder); UNLINK(module->MemoryOrder); UNLINK(module->HashTable); memset(module->fullPath.Buffer, 0, module->fullPath.Length); memset(module, 0, sizeof(ModuleInfoNode)); return 1; } Только учти, что потом отвалятся некоторые апи. Например для работы с ресурсами. \| Сообщение посчитали полезным: MickeyBlueEyes
Dr0p Ранг: 72.3 (постоянный), 133thx Активность: 0.38↘0 Статус: Участник	Создано: 08 ноября 2013 15:35 · Поправил: Dr0p · Личное сообщение · #8 Nightshade Точнее отвалится вообще всё. SEH работать не будет, шадов тоже скорее всего. В таких кодах можно юзать только апи ядра и изъёбства, техники типо STPT(stack protection). Это сложный малварный код. Как у меня. Думаю это тс не доступно, если он такую примитивную задачу решить не может.
MickeyBlueEyes Ранг: 51.6 (постоянный), 3thx Активность: 0.04↘0 Статус: Участник	Создано: 08 ноября 2013 22:08 · Личное сообщение · #9 Да всё могу, просто всего второй день по недрам окошек гуляю. А так да, с кодом сверху отвалилось больше чем нужно было, но зато есть что подчеркнуть ))) Спасибо отписавшим, пошёл дальше гулять по недрам.

Для печати