Русский / Russian English / Английский

Сейчас на форуме: _MBK_, Adler, ManHunter, strannyi (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› DLL загрузчик
Посл.ответ Сообщение

Ранг: 0.4 (гость)
Статус: Участник

Создано: 4 июля 2019 07:08 · Поправил: azgame New!
Цитата · Личное сообщение · #1

/del


Ранг: 150.7 (ветеран)
Статус: Участник

Создано: 4 июля 2019 08:13 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #2

расположение длл в памяти известно, границы из пе-хидера увидишь - бери PETools и дампь как произвольный регион.
Навряд ли дллка будет после этого рабочей, однако для исследования должно хватить. Оптимально, конечно, было бы выловить её из сетевых пакетов.

azgame пишет:
Всякий раз когда достигнута(!) точка останова - процесс закрывается. Причем брейкпоинты на такие вещи как ExitProcess; TerminateProcess; TerminateThread не дают никакого результата

Ну результата не дают, так как вполне очевидно, что защита хукнула системную точку обработки исключений. Поэтому бряк обрабатывается не отладчиком, а защитой.
Какие плагины с какими настройками используются?

Попробуй зациклить на нужной точке через EBFE, а потом поставить на паузу.


azgame пишет:
И да, пакер энигма 4.xx.

это пакер чего? лоадера? целевого процесса? дллки?
по первому скрину названия секций видно: vmp0, vmp1 - есть вариант что это не совсем энигма


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 4 июля 2019 10:37 New!
Цитата · Личное сообщение · #3

Энигма без проблем работает под отладчиком с плагинами(сцилла). После запуска апп распаковано, можно прямо дампить.


Ранг: 213.9 (наставник)
Статус: Участник
X-Literator

Создано: 4 июля 2019 10:48 New!
Цитата · Личное сообщение · #4

difexacaw она делает полностью работоспособную dll или ее можно только в иде посмотреть?


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 4 июля 2019 10:59 New!
Цитата · Личное сообщение · #5

Crawler

Не знаю точно, на первый взгляд импорт не тронут, секция кодовая тоже. Можно выяснить подробно по ветвлениям за пределы образа/кодовой секции.

Ранг: 0.4 (гость)
Статус: Участник

Создано: 4 июля 2019 11:17 · Поправил: azgame New!
Цитата · Личное сообщение · #6

/del


Ранг: 150.7 (ветеран)
Статус: Участник

Создано: 4 июля 2019 11:29 New!
Цитата · Личное сообщение · #7

azgame пишет:
почему 2 раза секции объявлены, это 2 разные dll что ли.

а где второй раз? не вижу что-то

в чём вообще задача?
выяснить что длл делает?
или сделать свой лоадер для неё, без загрузки из интернета?

Ранг: 0.4 (гость)
Статус: Участник

Создано: 4 июля 2019 11:31 · Поправил: azgame New!
Цитата · Личное сообщение · #8

/del


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 4 июля 2019 11:46 New!
Цитата · Личное сообщение · #9

azgame

> Хотелось бы загружать эту DLL из своего лоадера

А зачем для этого распаковывать(дампить)

Ранг: 0.4 (гость)
Статус: Участник

Создано: 4 июля 2019 11:55 · Поправил: azgame New!
Цитата · Личное сообщение · #10

/del


Ранг: 150.7 (ветеран)
Статус: Участник

Создано: 4 июля 2019 11:55 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #11

azgame пишет:
Первый раз в самом начале, второй раз в конце чуть выше манифеста.


Это не секции. Какая-то дополнительная компиляторная инфа, не более.
Формат битый, поэтому оно вообще висит в воздухе


azgame пишет:
Хотелось бы загружать эту DLL из своего лоадера

ну с этого надо было начинать.
стало быть, в любом случае надо отловить длл до того, как её начнут грузить в чужой процесс.

Первый скрин показывает, что из сети она приходит в чистом виде. В чём проблема сохранить её напрямую? Только не как ASCII, разумеется)

Ранг: 0.4 (гость)
Статус: Участник

Создано: 4 июля 2019 12:06 · Поправил: azgame New!
Цитата · Личное сообщение · #12

/del


Ранг: 150.7 (ветеран)
Статус: Участник

Создано: 4 июля 2019 12:11 New!
Цитата · Личное сообщение · #13

azgame пишет:
Тогда у меня просто не получается пофиксить хеадеры этой длл

А зачем их фиксить вообще? Они нормальные должны быть по умолчанию.
Просто отрезать всё что до сигнатуры MZ и оно уже в принципе должно работать

Ранг: 0.4 (гость)
Статус: Участник

Создано: 4 июля 2019 12:32 · Поправил: azgame New!
Цитата · Личное сообщение · #14

/del

Ранг: 244.1 (наставник)
Статус: Участник

Создано: 4 июля 2019 12:36 · Поправил: cppasm New!
Цитата · Личное сообщение · #15

-=AkaBOSS=- пишет:
Это не секции. Какая-то дополнительная компиляторная инфа, не более.

http://www.hexacorn.com/blog/2015/07/30/gctl-debug-section-in-windows-10-binaries/

| Сообщение посчитали полезным: -=AkaBOSS=-



Ранг: 150.7 (ветеран)
Статус: Участник

Создано: 4 июля 2019 12:45 New!
Цитата · Личное сообщение · #16

azgame пишет:
Я вероятно что то делаю не так, но к сожалению привести в нормальный вид tcp пакет у меня не получается.

да уж.. это было сильно - обрабатывать текстовый хекс дамп
сделал бинарник
 eXeL@B —› Вопросы новичков —› DLL загрузчик
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ