В общем написал лодырь...
Цель, запустить процесс дождаться полной инициализации, заморозить, пропатчить в памяти.. и отпустить..
Вопрос, как поймать момент полной инициализации без запуска процесса?

WaitForInputIdle(pi.hProcess, INFINITE) не канает.. т.к. запускает процесс и патчить уже поздно.
WaitForSingleObject(pi.hProcess, INFINITE) срабатывает только если процесс завершен, тоже не канает.

Дрова не предлагать, нужен вариант из под юзермода...

Использую сейчас вариант



Но Sleep крайне не надежен...

В общем, подскажите вариант... плиз..

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

И что мешает воткнуть eb fe на точку входа или бряк, если на дебаг апи?

| Сообщение посчитали полезным: Vovan666, OnLyOnE

Archer

Умница) Ну тупанул.. щас спробую)

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

В своем лоадере использую следующую схему.
1) Беру адрес EntryPoint из PE header-a, далее CreateProcess (SUSPENDED | DEBUG)
2) Нахожу базовый адрес по которому загрузился.
3) Пишу привилегированные интсрукции на TLS и EP.
4) Отпускаю процесс, ловлю в дебаг ивенте свои инструкции, патчу нужные данные по оффсету от базы или поиском, восстанавливаю оригинальные байты на TLS или EP.
5) Отпускаю процесс.
При желании сюда же можно воткнуть анти-анти-дебаг

| Сообщение посчитали полезным:

Archer
deniskore
Аналогично! Действеннее, проще и универсальнее ничего пока не находил. )

Ещё как вариант - перехватить выход из KiUserApcDispatcher. Перехват будет до NtSetInformationThread и тут можно сделать свои настройки. А можно перехватить NtSetInformationThread

-----
IZ.RU

| Сообщение посчитали полезным:

Archer пишет:
И что мешает воткнуть eb fe на точку входа или бряк, если на дебаг апи?

Бро..(( такая тема.. дело в том, что мой ехе имеет релоки.. и их не вырезать.. т.к. чекается CRC.. под вин7 ехе может грузиться куда угодно..
Для того чтобы найти его в памяти... использую комбинацию из 3 пальцев))



только после этого смогу найти реальный адрес OEP ... но это после инициализации только..
т.к. не инициализированный процесс Module32First посылает нахер... ERROR_PARTIAL_COPY((

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

Указатель на PEB лежит в одном из регистров в контексте на CREATE_SUSPENDED, откуда можно выцепить базу. В х86 и х64 разные регистры, сходу не помню, ebx и rcx, что ли. А в eax на х86 сразу точка входа лежит. Да и было это всё на форуме уже.

| Сообщение посчитали полезным:

OnLyOnE пишет:
но это после инициализации только
прочитай регистр eax у усыплённого процесса, и на 7ке он указывает на адрес OEP ))

Archer пишет:
В х86 и х64 разные регистры
Да, на x64 может быть другой, не rax. Не помню какой...

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
прочитай регистр eax у усыплённого процесса, и на 7ке он указывает на адрес OEP ))
у в какой момент читать? креатпроцесс возвращает 1 в еах)

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

не креатпроцесс, а геттредконтекст!

Берёшь хендл потока из известной структуры для креатпроцесса твоего, берёшь геттредконтекст'ом значения регистров, смотришь eax )))

-----
IZ.RU

| Сообщение посчитали полезным: OnLyOnE

ок сенкс. щас проверим

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

OnLyOnE пишет:
под вин7 ехе может грузиться куда угодно..
при создания процесс CREATE_SUSPENDED
[EBX+8]=ImageBase

| Сообщение посчитали полезным:

DenCoder пишет:
берёшь геттредконтекст'ом значения регистров, смотришь eax
под x64 фуфло будет. хз почему - не копался
Vovan666
зная оффсет, или вычисляя по хеадеру - все относительно...
ps: --> http://code.google.com/p/injector/ <--

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Vovan666 пишет:
при создания процесс CREATE_SUSPENDED
[EBX+8]=ImageBase
Это я видел.

DenCoder пишет:
Берёшь хендл потока из известной структуры для креатпроцесса твоего, берёшь геттредконтекст'ом значения регистров, смотришь eax )))

GetThreadContext в еах == 1
а структура контекста обнуляется полностью..

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

В общем как-то так


| Сообщение посчитали полезным:

OnLyOnE пишет:
GetThreadContext в еах == 1
Не eax на выходе функции, ё-маё ))) А в структуре контекст поле DWORD Eax;

А то, что 1 возращает эта функция - это значит успех )

Код на Си


Vovan666
А что такое
? )

Смещение от EP к OEP ? Для какого-то хитрого пакера? )

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
Смещение от EP к OEP ? Для какого-то хитрого пакера? )
х.з. но если CREATE_SUSPENDED = System breakpoint в ольке, то именно там оеп, а не просто в еах. писал от балды без проверке на жертве, т.к. всегда юзаю что-то типа
mov eax,threadcontext.regEbx
add eax,8h
invoke ReadProcessMemory,pinfo.hProcess,eax,addr oep,4h,0
add,[oep],EP

| Сообщение посчитали полезным:

Vovan666
System breakpoint в ольке != CREATE_SUSPENDED.
1) Когда создаётся процесс с флагом CREATE_SUSPENDED, мы находимся на месте ещё перед стартом APC, который делает все необходимые инициализации, в том числе и импорт, и релоки, и TLS, если в хидере нет ошибок. )

2) Когда в ольке брякаешься на System breakpoint, часть инициализации в APC уже отработало.

В первом случае (забыл уже, где именно, но либо в ntdll создающего процесса, либо в ntoskrnl - давно реверсил) устанавливается контекст в создаваемом процессе, который сохраняется APC-рутиной для того, чтобы после инициализации установить его заново. И как раз на XP и 7ке x86 на этапе присваивания контекста в eax заносится EP программы (он же и OEP, если прога ничем не накрыта).

В общем, --> тут <-- я уже описывал, как найти EP созданного, пока спящего процесса.

-----
IZ.RU

| Сообщение посчитали полезным:

Ну ЕP данного процесса мне и не надо было, имиджбазы более чем достаточно)



Сделал так .. все заработало) 30% кода вырезал нахер)
Спасибо всем) Вопрос решен)

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным: