eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: tamnt1306, Nihil enim, IsNull (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Потестите PE Loader
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 18 января 2010 10:06 New!
Цитата · Личное сообщение · #1

Приветствую.

Обновлял своего апи шпиона. Реализовал метод когда один процесс проецирует внутрь себя другой, настраивает импорт и передает управление на ентри поинт.
До передачи управления на entry point можно сделать что то полезное, например внедрить длл

Пока что экспериментальный лоадер, кому не в лом потестите на системах.
Ограеничения не держит файлы с TLS

Если сорцы нужны, пишите в личку


{ Атач доступен только для участников форума } - peldrtst.zip

Ранг: 73.1 (постоянный)
Статус: Участник

Создано: 9 февраля 2010 07:48 · Поправил: Rustem New!
Цитата · Личное сообщение · #2

Flint
Калькулятор изображается не правильно не из-за size of image в PEB.
По крайней мере в моем, все патчится, но проблема остается

Code:
  1.          //Change LDR_MODULE
  2.          LDR_MODULE* pModule=(LDR_MODULE*)pKPEB->Ldr->InLoadOrderModuleList.Flink;
  3.          pModule->BaseAddress = BaseAddr;
  4.          pModule->EntryPoint = BaseAddr + ImageOptionalHeader.AddressOfEntryPoint;
  5.          pModule->SizeOfImage=ImageOptionalHeader.SizeOfImage;
  6.          pModule->TimeDateStamp=ImageFileHeader.TimeDateStamp;

Ранг: 5.6 (гость)
Статус: Участник

Создано: 26 сентября 2019 16:32 New!
Цитата · Личное сообщение · #3

Господа, а тутор по написанию RunPE (доходчивый), кто ссыль кинет?


Ранг: 313.2 (мудрец)
Статус: Участник

Создано: 26 сентября 2019 16:45 New!
Цитата · Личное сообщение · #4

AE

А что там не понятно, это же первая самостоятельная работа на нт для тебя

Или может нужен запуск в обход защиты, тогда это совсем друга тема.

Ранг: 5.6 (гость)
Статус: Участник

Создано: 26 сентября 2019 17:28 · Поправил: AE New!
Цитата · Личное сообщение · #5

difexacaw да тут такое дело.... наверное под эту конкретную задачу придется решать иначе (проще), но, все равно, объясню:
после добавления секции с кодом приложение стало крашится, при этом под отладчиком или, даже, под SpyStudio все работает нормально. Крашится вот так:

До моего джампа.
Прошерстив форум - увидел пару тем в которых TLS (в которой, судя по всему, и есть моя проблема) усложняет задачу, того и спросил...
Собственно про РЕ лоадер в нете есть достаточно, но не увидел нигде про TLS, а здешние темы меня "напугали".


Ранг: 313.2 (мудрец)
Статус: Участник

Создано: 26 сентября 2019 17:31 New!
Цитата · Личное сообщение · #6

AE

> https://vk.com/photo86304548_457239183

Что бы посмотреть скрин с ошибкой нужно зарегаться вконтактике ?


Ранг: 227.7 (наставник)
Статус: Участник
radical

Создано: 26 сентября 2019 17:32 New!
Цитата · Личное сообщение · #7

AE пишет:
после добавления секции с кодом приложение стало крашится

А права на эту секцию выставил ?

У тебя ж на скрине ошибка доступа к памяти. При чем здесь TLS ?

Ранг: 5.6 (гость)
Статус: Участник

Создано: 26 сентября 2019 17:35 · Поправил: AE New!
Цитата · Личное сообщение · #8

difexacaw
я поправил

Добавлено спустя 11 минут
DimitarSerg пишет:
А права на эту секцию выставил ?

У тебя ж на скрине ошибка доступа к памяти. При чем здесь TLS ?

да: ERWC (E0000020)


Ранг: 313.2 (мудрец)
Статус: Участник

Создано: 26 сентября 2019 17:51 New!
Цитата · Личное сообщение · #9

AE

33497 этот адрес исполнился ?
Тоесть сюда было передано управление и возник #PF/NX или инструкция всё таки исполнилась и привела к ошибке ?

Может сразу лучше семпл покажите, что бы не гадать.

Ранг: 5.6 (гость)
Статус: Участник

Создано: 26 сентября 2019 18:13 · Поправил: AE New!
Цитата · Личное сообщение · #10

difexacaw
папка 1,5 ГБ весом...

difexacaw пишет:
33497 этот адрес исполнился ?
Тоесть сюда было передано управление и возник #PF/NX или инструкция всё таки исполнилась и привела к ошибке ?

Там секция нулей....

Добавлено спустя 2 минуты
Сорри, по адресу вообще ничего нет

Добавлено спустя 2 минуты
В смысле нет выделенной памяти по 33497

Добавлено спустя 10 минут
DimitarSerg пишет:
При чем здесь TLS ?

Наверное, на самом деле, не при чем....попробую поэтапно вносить правки....

Добавлено спустя 26 минут
DimitarSerg
Спасибо за наведение на мысль!

Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 26 сентября 2019 19:48 New!
Цитата · Личное сообщение · #11

AE пишет:
Господа, а тутор по написанию RunPE (доходчивый), кто ссыль кинет?

RunPE или LoadPE? Для ехе или длл?
Если по загрузке длл в память, то было много видеоуроков на ютубе. А ехе полноценно загрузить нельзя, увы. Разве что самое - самое простое.

| Сообщение посчитали полезным: difexacaw


Ранг: 5.6 (гость)
Статус: Участник

Создано: 26 сентября 2019 20:24 New!
Цитата · Личное сообщение · #12

morgot пишет:
А ехе полноценно загрузить нельзя, увы.

А дебугер что делает, не это разве?


Ранг: 313.2 (мудрец)
Статус: Участник

Создано: 26 сентября 2019 22:40 · Поправил: difexacaw New!
Цитата · Личное сообщение · #13

AE

Что то я не то посмотрел, это же смещение в нтдлл

--> Тут <-- вашей версии не нашлось.

Нужно отладчиком глянуть что по тому адресу.

> А дебугер что делает, не это разве?

Кстате верное замечание, экзе не запустить полноценно, тот же манифест и прочее. И повторно процесс нельзя запустить(те выполнить повторную инициализацию загрузчика), система разрешает это сделать один лишь раз.
Отладчик ничего не загружает, он работает крайне просто - система устанавливает маркер при создании процесса если подключен отладчик, далее загрузчик его проверяет и если установлен останавливается на Int3, это подхватывает дебаггер.

Ранг: 5.6 (гость)
Статус: Участник

Создано: 27 сентября 2019 10:35 New!
Цитата · Личное сообщение · #14

difexacaw пишет:
Нужно отладчиком глянуть что по тому адресу.


Очень популярное место оказалось. Приходим туда с каждой второй функции.

Радует - где-то внутри моей ДЛЛ, потыкаю МБоксы - посмотрю где конкретно валится....

Ранг: 214.2 (наставник)
Статус: Участник

Создано: 27 сентября 2019 18:17 New!
Цитата · Личное сообщение · #15

Загрузчик PE файлов из памяти пишеться, при большом желании, за пару дней, еще пару потратишь на тестирование.
Советую перечитать все доки по PE формату.
morgot пишет:
А ехе полноценно загрузить нельзя, увы.

Если очень захотеть, то можно.


Ранг: 313.2 (мудрец)
Статус: Участник

Создано: 27 сентября 2019 18:19 New!
Цитата · Личное сообщение · #16

void

Невозможно, так как соединение с csrss можно установить однократно.


Ранг: 303.8 (мудрец)
Статус: Участник

Создано: 27 сентября 2019 18:38 New!
Цитата · Личное сообщение · #17

AE пишет:
В смысле нет выделенной памяти по 33497

Это смещение в модуле, который указан в краш-логе. Модуль ntdll.dll у тебя ж там

difexacaw пишет:
Кстате верное замечание, экзе не запустить полноценно, тот же манифест и прочее

С манифестом можно провести некоторые манипуляции, перед загрузкой образа вставить его в файл. В голову приходит, кстати, и способ подмены секции с манифестом после маппинга, но не пробовал пока.

difexacaw пишет:
--> Тут <-- вашей версии не нашлось.

Версия модуля с ошибкой: 6.1.7601.24475
Windows 7 SP1
Какая-то заплатка от 16 мая на ntdll


Ранг: 313.2 (мудрец)
Статус: Участник

Создано: 27 сентября 2019 19:30 New!
Цитата · Личное сообщение · #18

DenCoder

На exploit.in когда то давно этими извратами занимались, так обычно крипты стартуют, но не полноценно, вылазят кучи косяков. Что бы произвольный модуль запустить необходимо загрузчику до его запуска дать дисковую проекцию, а не распаковывать налету. Если попытаться сбросить загрузчик, полностью загрузив исходную секцию данных нтдлл это приведёт к падению - после повторной попытки соединения с csrss он запрос отклонит, STATUS_PORT_CONNECTION_REFUSED и слетит всё.

| Сообщение посчитали полезным: morgot


Ранг: 32.5 (посетитель)
Статус: Участник

Создано: 27 сентября 2019 20:38 New!
Цитата · Личное сообщение · #19

void
Не буду спорить, но лично я не встречал таких РЕ-загрузчиков, и Инди вот тоже говорит, что это сложно. Самое простое загрузить - да, такого полно. Но, если надо
- загрузить файл без релоков?
- загрузить файл с seh?
- загрузить с tls?

Если взять крипторы малвари (а обычно, в 90% такой софт нужен там), то почти никто из них не поддерживает сех или там какой-то дельфийский бинарник с этим вот всем VCL.

Ранг: 214.2 (наставник)
Статус: Участник

Создано: 27 сентября 2019 21:33 New!
Цитата · Личное сообщение · #20

morgot пишет:
Не буду спорить, но лично я не встречал таких РЕ-загрузчиков

В паблике их естественно нет.
morgot пишет:
и Инди вот тоже говорит, что это сложно

Чтобы понять инде надо закинуться чем-то запрещенным, а у меня такого нема.
morgot пишет:
- загрузить файл без релоков?
- загрузить файл с seh?
- загрузить с tls?

Да я же говорю, все решаемо, просто не все хотят заморачиваться над этим.
<< . 1 . 2 .
 eXeL@B —› Софт, инструменты —› Потестите PE Loader

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS