Coder Опубликовано 9 октября, 2014 Поделиться Опубликовано 9 октября, 2014 За 3 дня накидал простенький DLL инжектор, который внедряет DLL посредством manual mapping'а.WARNING / АХТУНГ: DLL в процессе не регистрируется и поэтому в списке модулей процесса она не отображается, следовательно - такие функции как GetModuleHandle, EnumerateProcessModules и Module32Next не смогут найти внедрённую DLL. x86Download - memInjector.zipVirusTotal - https://www.virustotal.com/ru/file/6ceb0af59b29ddcc737937ef7f25e3062b4daae50105364bba3a70725e3050b9/analysis/1412830192/ x64Download - memInjector_64.zipVirusTotal - https://www.virustotal.com/ru/file/03bbd1e77a90f7670baa0d594689820af1b5916b919b6074aa9f59ae2bb9676b/analysis/1412830206/ x64 инжектор может внедрять DLL (x86 и x64) в x86 и x64 процессы соотвественно.x86 инжектор может внедрять только x86 DLL в x86 процессы. Из того что есть на данный момент:1. Поддержка x86 и x642. Base relocs3. Import Table Fix Из того, чего нет на данный момент, но появится в будущем:1. TLS callbacks2. Export table fix3. Resources4. .NET файлы Авторство: Coder (я) Баги:Те, что сообщите вы P.S. очень прикольно то что в x86 версии файла антивирус "Qihoo-360" видит "Malware.QVM10.Gen", а x64 файл он считает чистым. 3 Ссылка на комментарий Поделиться на другие сайты Поделиться
ZOCKIR Опубликовано 9 октября, 2014 Поделиться Опубликовано 9 октября, 2014 Ошибка! и тот и другой. аваст даже не дает загружать страницу.Или у меня с компом что то не ТО, вчера загружал таблицу сегодня нет. ПРОВЕРЯЮ КОМП...........................................Нет. Не получается антивирус блокирует. сам сайт. Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 9 октября, 2014 Поделиться Опубликовано 9 октября, 2014 Так выключи антивирь. Знаешь же, что наши участники не станут подсаживать вирусы пользователям форума. Ссылка на комментарий Поделиться на другие сайты Поделиться
Coder Опубликовано 10 октября, 2014 Автор Поделиться Опубликовано 10 октября, 2014 Я вижу народ прямо оставляет комменты как не знаю кто)) Ссылка на комментарий Поделиться на другие сайты Поделиться
HackingMemory Опубликовано 10 октября, 2014 Поделиться Опубликовано 10 октября, 2014 Протестировал, все прекрасно работает. Спасибо большое! Ссылка на комментарий Поделиться на другие сайты Поделиться
Laziz Опубликовано 10 октября, 2014 Поделиться Опубликовано 10 октября, 2014 Не по тему:Coder сможешь точно таким же образам подгрузить ехе файл в другой процесс, скажем, СЕ грузился в чужой процесс да бы скрыт от некоторых защищённых игр? или это не возможно? хотя... все возможно... (был бы крутой вещщ)) 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Coder Опубликовано 10 октября, 2014 Автор Поделиться Опубликовано 10 октября, 2014 Не по тему:Coder сможешь точно таким же образам подгрузить ехе файл в другой процесс, скажем, СЕ грузился в чужой процесс да бы скрыт от некоторых защищённых игр? или это не возможно? хотя... все возможно... (был бы крутой вещщ))EXE ничем не отличается от DLL, и то и то это PE файлы.Единственное отличие EXE от DLL это то что у EXE обязательно имеется точка входа. Думаю что такое возможно разумеется, но придется много чего для это реализовать. Проще всего CE скомпилить в DLL и не париться, если ты уж так хочешь это сделать. Ссылка на комментарий Поделиться на другие сайты Поделиться
RockHammer Опубликовано 10 ноября, 2014 Поделиться Опубликовано 10 ноября, 2014 Что со ссылкой на х64 версию? Ссылка на комментарий Поделиться на другие сайты Поделиться
RockHammer Опубликовано 8 января, 2015 Поделиться Опубликовано 8 января, 2015 Не по тему:Coder сможешь точно таким же образам подгрузить ехе файл в другой процесс, скажем, СЕ грузился в чужой процесс да бы скрыт от некоторых защищённых игр? или это не возможно? хотя... все возможно... (был бы крутой вещщ))СЕ грузился в чужой процесс??????? Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 8 января, 2015 Поделиться Опубликовано 8 января, 2015 Ребята, стоп! В адресное простоанство можно инжектить код, другой исполняемый файл (библиотеку), а так же создавать потоки, клонировать процесс и делать все это из режима ядра. Ехе выполнить внутри другого ехе - можно, но довольно бессмысленно. Сначала стоит четко определиться с задачей, а уже потом проектировать решение. Ссылка на комментарий Поделиться на другие сайты Поделиться
Coder Опубликовано 9 января, 2015 Автор Поделиться Опубликовано 9 января, 2015 Работоспособность ссылок снова восстановлена. Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость Shelby Опубликовано 19 февраля, 2015 Поделиться Опубликовано 19 февраля, 2015 Привет. Пофикстье ссылки пожалуйста, хотелось бы опробовать сие творение ))ЗЫ Для использования manual map нужно вкл тестовый режим винды ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Coder Опубликовано 19 февраля, 2015 Автор Поделиться Опубликовано 19 февраля, 2015 Привет. Пофикстье ссылки пожалуйста, хотелось бы опробовать сие творение ))ЗЫ Для использования manual map нужно вкл тестовый режим винды ?Поправил ссылки. Нет, тестовый режим не нужен. Ссылка на комментарий Поделиться на другие сайты Поделиться
RockHammer Опубликовано 21 февраля, 2015 Поделиться Опубликовано 21 февраля, 2015 (изменено) А почему бы при выходе не сделать сохранение параметров? К примеру, путь библиотеки и имя процесса? Ведь это два textBox'a. Просто сохрани их содержимое... Куда-нибудь и при лаунче проверяй есть ли в буфере (или текстовике или еще где) хоть что-то, если есть - подгружай в textBox'ы. Помоему норм идея. Изменено 21 февраля, 2015 пользователем RockHamer Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость Shelby Опубликовано 21 февраля, 2015 Поделиться Опубликовано 21 февраля, 2015 (изменено) Поправил ссылки. Нет, тестовый режим не нужен.Спасибо Но не работает инжект...пишет только Process found and ready to injection! PID: XXXX, дальше ничего. Пробовал на x64 и x86 системах, в исходниках внедряемой .dll нет ни GetModuleHandle, ни двух других функций. Что я делаю не так?)) PS Для сравнения, ProcessHacker без проблем внедряет эти же .dll... Изменено 21 февраля, 2015 пользователем Shelby Ссылка на комментарий Поделиться на другие сайты Поделиться
Coder Опубликовано 21 февраля, 2015 Автор Поделиться Опубликовано 21 февраля, 2015 Спасибо Но не работает инжект...пишет только Process found and ready to injection! PID: XXXX, дальше ничего. Пробовал на x64 и x86 системах, в исходниках внедряемой .dll нет ни GetModuleHandle, ни двух других функций. Что я делаю не так?)) PS Для сравнения, ProcessHacker без проблем внедряет эти же .dll... А ты собственно инжектить пытаешься наверное в процесс, который был запущен от имени админа, но при этом инжектор ты запустил без админских прав. Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость Shelby Опубликовано 22 февраля, 2015 Поделиться Опубликовано 22 февраля, 2015 @Coder, не от админа процесс. Много комбинаций пробовал. ProcessHacker не видит длл. Вообще я скачал Custom injector как замену Xenos'у, но только после понял, что тут нет Kernel Manual Map, лишь юзер мод Тогда немного оффтопа : кто знает где можно взять kernel инжекторы? Тот же Xenos есть на github'e, но как настроить под него wdk 8.0, чтобы хоть чуть его модифицировать(вернее кернел драйвер для него)...для меня(начинающего) задачка нелегкая. Нашел исходники еще одного, там просто драйвер.c и инжектор.с, опять же как драйвер скомпилить(есть вообще такое понятие - компиляция драйвера? ) я не имею представления. Если можете скинуть мануал какой-нибудь, буду признателен. Еще раз простите за оффтоп )) . Ссылка на комментарий Поделиться на другие сайты Поделиться
Coder Опубликовано 22 февраля, 2015 Автор Поделиться Опубликовано 22 февраля, 2015 @Coder, не от админа процесс. Много комбинаций пробовал. ProcessHacker не видит длл.Ну так он и не увидит, потому что DLL нет в PEB -> PEB_LDR_DATA и хидеры подтерты. Ссылка на комментарий Поделиться на другие сайты Поделиться
Afro Опубликовано 6 марта, 2015 Поделиться Опубликовано 6 марта, 2015 TS, есть ли какая-нибудь годная русскоязычная инфа по этому мануал мапингу?Дюже хочется поднабраться. Ссылка на комментарий Поделиться на другие сайты Поделиться
Coder Опубликовано 6 марта, 2015 Автор Поделиться Опубликовано 6 марта, 2015 TS, есть ли какая-нибудь годная русскоязычная инфа по этому мануал мапингу?Дюже хочется поднабраться.На wasm.ru можешь почитать про формат PE файлов. Ссылка на комментарий Поделиться на другие сайты Поделиться
Afro Опубликовано 6 марта, 2015 Поделиться Опубликовано 6 марта, 2015 (изменено) На wasm.ru можешь почитать про формат PE файлов. Basically manual mapping mirrors the functionality of LoadLibraryA in that it prepares a dll so that it can be successfully loaded into the process and have the right relative offsets etc, thus eliminating the need to call LoadLibraryA which is VERY easy for the remote process to hook and detect seeing as it's called within the remote process.Я не силён в английском. Как я понял, этот мэппинг заменяет loadlibrarya и нужен из-за того, что второй легко определяется (чем-то).Coder, можешь кинуть ссылку где можно почитать суть этого метода, если он имеет схожий функционал со стандартным loadlibrarya, то в чем его "фишка"? Ну и на васме я что-то не смог соориентироваться UPD. Всё нашёл. Если можешь от себя что-то добавить - буду рад) Изменено 6 марта, 2015 пользователем Afro Ссылка на комментарий Поделиться на другие сайты Поделиться
Coder Опубликовано 6 марта, 2015 Автор Поделиться Опубликовано 6 марта, 2015 Я не силён в английском. Как я понял, этот мэппинг заменяет loadlibrarya и нужен из-за того, что второй легко определяется (чем-то).Coder, можешь кинуть ссылку где можно почитать суть этого метода, если он имеет схожий функционал со стандартным loadlibrarya, то в чем его "фишка"? Ну и на васме я что-то не смог соориентироваться Без английского тебе туго будет) http://www.wasm.ru/wault/http://www.wasm.ru/wault/article/show/1002001 Ссылка на комментарий Поделиться на другие сайты Поделиться
Matroix123 Опубликовано 19 марта, 2015 Поделиться Опубликовано 19 марта, 2015 (изменено) на каждой DLL Injector - е антивирус найдет вирус. Изменено 19 марта, 2015 пользователем Matroix123 Ссылка на комментарий Поделиться на другие сайты Поделиться
Coder Опубликовано 19 марта, 2015 Автор Поделиться Опубликовано 19 марта, 2015 на каждой DLL Injector - е антивирус найдет вирус.Прости, что?) Ссылка на комментарий Поделиться на другие сайты Поделиться
Matroix123 Опубликовано 19 марта, 2015 Поделиться Опубликовано 19 марта, 2015 хочу сказать что антивирусы тупые . на каждом инжекторе обнаруживает вируси ))особенно антивирус AVG Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения