eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: zds, bartolomeo (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Потестите PE Loader
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 18 января 2010 10:06 New!
Цитата · Личное сообщение · #1

Приветствую.

Обновлял своего апи шпиона. Реализовал метод когда один процесс проецирует внутрь себя другой, настраивает импорт и передает управление на ентри поинт.
До передачи управления на entry point можно сделать что то полезное, например внедрить длл

Пока что экспериментальный лоадер, кому не в лом потестите на системах.
Ограеничения не держит файлы с TLS

Если сорцы нужны, пишите в личку


{ Атач доступен только для участников форума } - peldrtst.zip

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 26 января 2010 18:08 New!
Цитата · Личное сообщение · #2

Желающих тестировать не нашлось... Как в пословице: хочешь, чтобы было сделано хорошо,-делай сам....
В общем, эта версия под вистой и выше не работает


Ранг: 599.8 (!)
Статус: Модератор
Research & Development

Создано: 26 января 2010 18:48 New!
Цитата · Личное сообщение · #3

Rustem пишет:
Желающих тестировать не нашлось

это не так. тестил без инета, потом забыл отписаться.

Rustem пишет:
В общем, эта версия под вистой и выше не работает

По поводу висты не скажу, а вот по поводу "и выше" - ты не прав.
Протестил на Windows 7 32 и 64 - работает и там и там

Также протестил на Windows XP SP3 - работает.


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 26 января 2010 21:06 New!
Цитата · Личное сообщение · #4

я тестил на xp sp3, тоже всё путём, ничо и не писал поэтому. наверно ни у каво нету висты).
и такой вопрос ещо, в NET проги длл инжектит нормально? а то обычный метод с созданием потока не канает.


Ранг: 237.0 (наставник)
Статус: Участник
sysenter

Создано: 26 января 2010 23:56 New!
Цитата · Личное сообщение · #5

Rustem пишет:
Желающих тестировать не нашлось...

- отходим после НГ
На Windows Server 2003 SP2 фурычит.


Ранг: 657.3 (! !)
Статус: Участник
CyberMonk

Создано: 28 января 2010 00:47 · Поправил: mak New!
Цитата · Личное сообщение · #6

Вин 7 32 ...хп сп2 , сп3 , плюс пре сп4 там еще не тестил

вывод с вин7 32

Code:
  1. PE Loader v1.2
  2. Exe : C:\Users\Mak\Desktop\peldrtst\hello.exe
  3. **IMAGE_FILE_HEADER**
  4. NumberOfSections     :3
  5. SizeOfOptionalHeader :E0
  6.  
  7. **IMAGE_OPTIONAL_HEADER**
  8. ImageBase           : 400000
  9. AddressOfEntryPoint : 11D9
  10. SectionAlignment    : 1000
  11. FileAlignment       : 1000
  12. SizeOfImage         : B000
  13.  
  14. **SECTION: 0**
  15. VirtualSize      : 50E8
  16. VirtualAddress   : 1000
  17. SizeOfRawData    : 6000
  18. PointerToRawData : 1000
  19. Characteristics  : 60000020
  20.  
  21. **SECTION: 1**
  22. VirtualSize      : 1664
  23. VirtualAddress   : 7000
  24. SizeOfRawData    : 2000
  25. PointerToRawData : 7000
  26. Characteristics  : 40000040
  27.  
  28. **SECTION: 2**
  29. VirtualSize      : 1C88
  30. VirtualAddress   : 9000
  31. SizeOfRawData    : 1000
  32. PointerToRawData : 9000
  33. Characteristics  : C0000040
  34.  
  35.  
  36. Memory for image allocated
  37. Header size on file: 1000
  38. Map section : 0
  39. File     Offset : 1000
  40. File     Size   : 6000
  41. Virtual Address : 401000
  42.  
  43. Map section : 1
  44. File     Offset : 7000
  45. File     Size   : 2000
  46. Virtual Address : 407000
  47.  
  48. Map section : 2
  49. File     Offset : 9000
  50. File     Size   : 1000
  51. Virtual Address : 409000
  52.  


Jupiter нравятся такие таблички с данными А если серьезно , то просто привычка , есть определенные правила тестирования софта , одно из них это выкладывание данных выданных прогой независимо от результата. Актуально или нет .. но пусть будет

Ранг: 226.0 (наставник)
Статус: Участник

Создано: 28 января 2010 21:25 New!
Цитата · Личное сообщение · #7

Win XP SP2

Code:
  1. PE Loader v1.2
  2. Exe : C:\test\hello.exe
  3. **IMAGE_FILE_HEADER**
  4. NumberOfSections     :3
  5. SizeOfOptionalHeader :E0
  6.  
  7. **IMAGE_OPTIONAL_HEADER**
  8. ImageBase           : 400000
  9. AddressOfEntryPoint : 11D9
  10. SectionAlignment    : 1000
  11. FileAlignment       : 1000
  12. SizeOfImage         : B000
  13.  
  14. **SECTION: 0**
  15. VirtualSize      : 50E8
  16. VirtualAddress   : 1000
  17. SizeOfRawData    : 6000
  18. PointerToRawData : 1000
  19. Characteristics  : 60000020
  20.  
  21. **SECTION: 1**
  22. VirtualSize      : 1664
  23. VirtualAddress   : 7000
  24. SizeOfRawData    : 2000
  25. PointerToRawData : 7000
  26. Characteristics  : 40000040
  27.  
  28. **SECTION: 2**
  29. VirtualSize      : 1C88
  30. VirtualAddress   : 9000
  31. SizeOfRawData    : 1000
  32. PointerToRawData : 9000
  33. Characteristics  : C0000040
  34.  
  35.  
  36. Memory for image allocated
  37. Header size on file: 1000
  38. Map section : 0
  39. File     Offset : 1000
  40. File     Size   : 6000
  41. Virtual Address : 401000
  42.  
  43. Map section : 1
  44. File     Offset : 7000
  45. File     Size   : 2000
  46. Virtual Address : 407000
  47.  
  48. Map section : 2
  49. File     Offset : 9000
  50. File     Size   : 1000
  51. Virtual Address : 409000


Ранг: 599.8 (!)
Статус: Модератор
Research & Development

Создано: 28 января 2010 22:26 New!
Цитата · Личное сообщение · #8

mak, SergX
если всё нормально, то зачем выкладывать лог hello.exe?

тестируй файлы с пакерами, например, если будет ошибка - выложишь лог.

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 29 января 2010 08:55 New!
Цитата · Личное сообщение · #9

Jupiter
+1

Тут проблема есть, как эмулить TLS.... на дельфи прогах падает от этого, но и для более полной поддержки

Ранг: 60.6 (постоянный)
Статус: Участник

Создано: 29 января 2010 09:09 · Поправил: s0l New!
Цитата · Личное сообщение · #10

Windows Seven x64 - чистые файлы норм запускает, попробовал запакованный DiE запустить, предварительно убрав TLS. Не захотело.
Code:
  1. PE Loader v1.2
  2. Exe : E:\Reversing\!Analise\DiE 0.64\DiE.exe
  3. **IMAGE_FILE_HEADER**
  4. NumberOfSections     :4
  5. SizeOfOptionalHeader :E0
  6.  
  7. **IMAGE_OPTIONAL_HEADER**
  8. ImageBase           : 400000
  9. AddressOfEntryPoint : 135E0C
  10. SectionAlignment    : 1000
  11. FileAlignment       : 200
  12. SizeOfImage         : 136000
  13.  
  14. **SECTION: 0**
  15. VirtualSize      : B7000
  16. VirtualAddress   : 1000
  17. SizeOfRawData    : 0
  18. PointerToRawData : 400
  19. Characteristics  : E0000080
  20.  
  21. **SECTION: 1**
  22. VirtualSize      : 7B000
  23. VirtualAddress   : B8000
  24. SizeOfRawData    : 7B000
  25. PointerToRawData : 400
  26. Characteristics  : E0000020
  27.  
  28. **SECTION: 2**
  29. VirtualSize      : 2000
  30. VirtualAddress   : 133000
  31. SizeOfRawData    : 1A00
  32. PointerToRawData : 7B400
  33. Characteristics  : C0000040
  34.  
  35. **SECTION: 3**
  36. VirtualSize      : 1000
  37. VirtualAddress   : 135000
  38. SizeOfRawData    : 1000
  39. PointerToRawData : 7CE00
  40. Characteristics  : 60000060
  41.  
  42.  
  43. Memory for image alloc error
  44. MapPE error


Еще немного отчетов по пакерам.+ запустилось, - нет

{ Атач доступен только для участников форума } - packers.rar

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 29 января 2010 12:42 New!
Цитата · Личное сообщение · #11

В атаче исправленная. Должно работать

{ Атач доступен только для участников форума } - peldr2.zip

Ранг: 510.2 (!)
Статус: Модератор

Создано: 29 января 2010 15:07 New!
Цитата · Личное сообщение · #12

Rustem
потестил чуть на своем добре (брал последний из пред. поста)
Глянь пож-ста в аттач
От себя добавлю - много GUI прог не завелись (но и не падали)
Если надо детали - напишу.

{ Атач доступен только для участников форума } - peldr2_test_results.zip

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 29 января 2010 18:23 New!
Цитата · Личное сообщение · #13

sendersu много гуй прог - это дельфовые?

Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 29 января 2010 19:08 New!
Цитата · Личное сообщение · #14

Rustem
Качественный лодер:
1. Дельфе шлак. Токой и код которой он генерит.
2. Пермутирующий код(Mutation Independent).
3. Эмуляция секций, файлов и пр., тоесть загрузка средствами дефолтного нативного лодера.
4. Отсутствие изменений в секциях кода.
5. Сепшены не желательны.
У вас это соблюдается ?

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 29 января 2010 21:29 New!
Цитата · Личное сообщение · #15

1. кода на делфи тут нет и не будет
2. Мутации нет
3. загрузка вручную без средств системы. т.е. парсю пе хидер и патчу пеб
4. секция кода не меняется
5. сеха нет

Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 29 января 2010 22:12 New!
Цитата · Личное сообщение · #16

Rustem
2. Очень плохо. Ограничивает область применения. В вирях не юзабельно
3. Отсутствует совместимость, не юзабельно.

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 29 января 2010 23:02 New!
Цитата · Личное сообщение · #17

Clerk
Делалось не для вирей.
Почему отсутствует совместимость? Спецификация ПЕ формата одна вроде

Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 30 января 2010 01:46 New!
Цитата · Личное сообщение · #18

Rustem
> Делалось не для вирей.
А для чего тогда ?
> Почему отсутствует совместимость?
Ваш модуль с лодером мало что связывает.

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 30 января 2010 10:24 New!
Цитата · Личное сообщение · #19

Clerk пишет:
А для чего тогда ?

Писалось для самообразования, сейчас использую для внедрения дллки в процесс, без CreateRemoteThread

Clerk пишет:
Ваш модуль с лодером мало что связывает.

Похоже, про разные вещи говорим

Ранг: 510.2 (!)
Статус: Модератор

Создано: 30 января 2010 11:32 New!
Цитата · Личное сообщение · #20

Rustem пишет:
sendersu много гуй прог - это дельфовые?

Да
(там в названии файлов я отобразил тип екзе, например - Delphi2007_GUI.txt, или тип пакера
NE_exe.txt - ето NE exe (не PE)
вроде редкость, но встречаецо)

Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 30 января 2010 15:22 New!
Цитата · Личное сообщение · #21

Rustem
Не вижу связи CreateRemoteThread() с загрузкой модулей.
> Похоже, про разные вещи говорим
Точно, проекция модуля в сферическом вакууме


Ранг: 657.3 (! !)
Статус: Участник
CyberMonk

Создано: 30 января 2010 15:34 · Поправил: mak New!
Цитата · Личное сообщение · #22

Clerk напиши подробнее, какими параметрами должен обладать , как в производстве крипторов , наверняка в курсе о требованиях к крипторам и виде исполнения... очень интересно про лодер послушать


--- п.с. по делу больше , по делу, конкретнее с пинками


Ранг: 237.0 (наставник)
Статус: Участник
sysenter

Создано: 30 января 2010 15:42 · Поправил: HiEndsoft New!
Цитата · Личное сообщение · #23

Этож не лоадер(афтор топега в самом начале написал что это процесс в процессе).
100 лет назад видел подобное на VB (в аттаче вместе с сорцами)

{ Атач доступен только для участников форума } - RunPE.rar

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 30 января 2010 17:03 New!
Цитата · Личное сообщение · #24

Clerk
Ну и как тогда называется по вашему, прога которая грузит ПЕ в себя?
И что понимать под ПЕ лоадером?

Ранг: 255.8 (наставник)
Статус: Участник
vx

Создано: 30 января 2010 17:16 New!
Цитата · Личное сообщение · #25

Rustem
Функционал загружающий модуля.
mak
По моему ктото не видит разницы между длл и экзе.

Ранг: 56.1 (постоянный)
Статус: Участник

Создано: 31 января 2010 00:45 New!
Цитата · Личное сообщение · #26

Я правда не понял в чём соль - но да, работает

Ранг: 516.1 (!)
Статус: Участник

Создано: 31 января 2010 18:06 New!
Цитата · Личное сообщение · #27

Rustem пишет:
прога которая грузит ПЕ в себя


не смотрел как это работает, но по словам похоже на запуск процесса из памяти


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 1 февраля 2010 14:16 New!
Цитата · Личное сообщение · #28

HiEndsoft - спасибо за VB пример с сорцами, теперь я понял о чём тут говорят...
Это только у меня так с калькулятором случилось?


Ранг: 237.0 (наставник)
Статус: Участник
sysenter

Создано: 8 февраля 2010 18:43 New!
Цитата · Личное сообщение · #29

Про калькулятор можно сказать одно: там с gdi проблема


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 8 февраля 2010 19:16 · Поправил: Flint New!
Цитата · Личное сообщение · #30

Имхо, не с gdi, size of image в PEB не пофиксили.

Rustem пишет:
Тут проблема есть, как эмулить TLS.... на дельфи прогах падает от этого, но и для более полной поддержки



Вот как-то так:
Code:
  1. PUSH DWORD PTR DS:[Start_address_of_raw_data]
  2. CALL TlsAlloc
  3. MOV DWORD PTR DS:[Address_of_index],EAX
  4. PUSH DWORD PTR DS:[Start_address_of_raw_data]
  5. PUSH EAX
  6. CALL TlsSetValue
  7. MOV DWORD PTR DS:[Address_of_index],0
. 1 . 2 . >>
 eXeL@B —› Софт, инструменты —› Потестите PE Loader

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS