Русский / Russian English / Английский

Сейчас на форуме: pigo, r3voluti0n
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› DLL загрузчик
Посл.ответ Сообщение

Ранг: 0.4 (гость)
Статус: Участник

Создано: 04 июля 2019 07:08 · Поправил: azgame New!
Цитата · Личное сообщение · #1

/del




Ранг: 150.3 (ветеран)
Статус: Участник

Создано: 04 июля 2019 08:13 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #2

расположение длл в памяти известно, границы из пе-хидера увидишь - бери PETools и дампь как произвольный регион.
Навряд ли дллка будет после этого рабочей, однако для исследования должно хватить. Оптимально, конечно, было бы выловить её из сетевых пакетов.

azgame пишет:
Всякий раз когда достигнута(!) точка останова - процесс закрывается. Причем брейкпоинты на такие вещи как ExitProcess; TerminateProcess; TerminateThread не дают никакого результата

Ну результата не дают, так как вполне очевидно, что защита хукнула системную точку обработки исключений. Поэтому бряк обрабатывается не отладчиком, а защитой.
Какие плагины с какими настройками используются?

Попробуй зациклить на нужной точке через EBFE, а потом поставить на паузу.


azgame пишет:
И да, пакер энигма 4.xx.

это пакер чего? лоадера? целевого процесса? дллки?
по первому скрину названия секций видно: vmp0, vmp1 - есть вариант что это не совсем энигма




Ранг: 316.4 (мудрец)
Статус: Участник

Создано: 04 июля 2019 10:37 New!
Цитата · Личное сообщение · #3

Энигма без проблем работает под отладчиком с плагинами(сцилла). После запуска апп распаковано, можно прямо дампить.




Ранг: 216.9 (наставник)
Статус: Участник
X-Literator

Создано: 04 июля 2019 10:48 New!
Цитата · Личное сообщение · #4

difexacaw она делает полностью работоспособную dll или ее можно только в иде посмотреть?




Ранг: 316.4 (мудрец)
Статус: Участник

Создано: 04 июля 2019 10:59 New!
Цитата · Личное сообщение · #5

Crawler

Не знаю точно, на первый взгляд импорт не тронут, секция кодовая тоже. Можно выяснить подробно по ветвлениям за пределы образа/кодовой секции.



Ранг: 0.4 (гость)
Статус: Участник

Создано: 04 июля 2019 11:17 · Поправил: azgame New!
Цитата · Личное сообщение · #6

/del




Ранг: 150.3 (ветеран)
Статус: Участник

Создано: 04 июля 2019 11:29 New!
Цитата · Личное сообщение · #7

azgame пишет:
почему 2 раза секции объявлены, это 2 разные dll что ли.

а где второй раз? не вижу что-то

в чём вообще задача?
выяснить что длл делает?
или сделать свой лоадер для неё, без загрузки из интернета?



Ранг: 0.4 (гость)
Статус: Участник

Создано: 04 июля 2019 11:31 · Поправил: azgame New!
Цитата · Личное сообщение · #8

/del




Ранг: 316.4 (мудрец)
Статус: Участник

Создано: 04 июля 2019 11:46 New!
Цитата · Личное сообщение · #9

azgame

> Хотелось бы загружать эту DLL из своего лоадера

А зачем для этого распаковывать(дампить)



Ранг: 0.4 (гость)
Статус: Участник

Создано: 04 июля 2019 11:55 · Поправил: azgame New!
Цитата · Личное сообщение · #10

/del




Ранг: 150.3 (ветеран)
Статус: Участник

Создано: 04 июля 2019 11:55 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #11

azgame пишет:
Первый раз в самом начале, второй раз в конце чуть выше манифеста.


Это не секции. Какая-то дополнительная компиляторная инфа, не более.
Формат битый, поэтому оно вообще висит в воздухе


azgame пишет:
Хотелось бы загружать эту DLL из своего лоадера

ну с этого надо было начинать.
стало быть, в любом случае надо отловить длл до того, как её начнут грузить в чужой процесс.

Первый скрин показывает, что из сети она приходит в чистом виде. В чём проблема сохранить её напрямую? Только не как ASCII, разумеется)



Ранг: 0.4 (гость)
Статус: Участник

Создано: 04 июля 2019 12:06 · Поправил: azgame New!
Цитата · Личное сообщение · #12

/del




Ранг: 150.3 (ветеран)
Статус: Участник

Создано: 04 июля 2019 12:11 New!
Цитата · Личное сообщение · #13

azgame пишет:
Тогда у меня просто не получается пофиксить хеадеры этой длл

А зачем их фиксить вообще? Они нормальные должны быть по умолчанию.
Просто отрезать всё что до сигнатуры MZ и оно уже в принципе должно работать



Ранг: 0.4 (гость)
Статус: Участник

Создано: 04 июля 2019 12:32 · Поправил: azgame New!
Цитата · Личное сообщение · #14

/del



Ранг: 251.5 (наставник)
Статус: Участник

Создано: 04 июля 2019 12:36 · Поправил: cppasm New!
Цитата · Личное сообщение · #15

-=AkaBOSS=- пишет:
Это не секции. Какая-то дополнительная компиляторная инфа, не более.

http://www.hexacorn.com/blog/2015/07/30/gctl-debug-section-in-windows-10-binaries/

| Сообщение посчитали полезным: -=AkaBOSS=-



Ранг: 150.3 (ветеран)
Статус: Участник

Создано: 04 июля 2019 12:45 New!
Цитата · Личное сообщение · #16

azgame пишет:
Я вероятно что то делаю не так, но к сожалению привести в нормальный вид tcp пакет у меня не получается.

да уж.. это было сильно - обрабатывать текстовый хекс дамп
сделал бинарник


 eXeL@B —› Вопросы новичков —› DLL загрузчик
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ