А каким хуком можно внедриться в консольное приложение?

← →
Piter © (2004-11-22 00:46) [0]

Ну собственно, сабж. Интересует тип хука...

← →
Palladin © (2004-11-22 00:53) [1]

Хуки вообще в приложения не внедряются.

← →
Юрий Зотов © (2004-11-22 01:25) [2]

> Piter © (22.11.04 00:46)

Вообще говоря, любым. Ведь консольное приложение может и с сообщениями работать.

← →
Игорь Шевченко © (2004-11-22 01:26) [3]

Я сильно сомневаюсь, что csrss позволит внедряться в его вотчину. Впрочем, я могу ошибаться. Даже через AppInit_DLLs нельзя внедриться в WinLogon и в CSRSS.

← →
Piter © (2004-11-22 01:59) [4]

Юрий Зотов © (22.11.04 1:25) [2]
Ведь консольное приложение может и с сообщениями работать.

а если не работает? Если там нет цикла выборки сообщений?

Никак что ли?

← →
Digitman © (2004-11-22 08:45) [5]

> Piter © (22.11.04 01:59) [4]
> а если не работает? Если там нет цикла выборки сообщений?
> Никак что ли?

а на кой шут тогда хук ? если процесс не использует механизм оконных сообщений ?

если тебе хук нужен лишь для внедрения своего кода в целевое АП, то хук - не единственный и не универсальный способ сделать это.

← →
Xaker © (2004-11-22 11:09) [6]

Игорь Шевченко © (22.11.04 1:26) [3]

> Я сильно сомневаюсь, что csrss позволит внедряться в
> его вотчину. Впрочем, я могу ошибаться. Даже через
> AppInit_DLLs нельзя внедриться в WinLogon и в CSRSS.

кому как, а я легко внедрялся и в WinLogon и в CSRSS (WriteProcessMemory) - не забыв про SeDebugPrivilege :)))

← →
Xaker © (2004-11-22 11:09) [7]

Digitman © (22.11.04 8:45) [5]
я за CreateRemoteThread

← →
Игорь Шевченко © (2004-11-22 11:10) [8]

Xaker © (22.11.04 11:09) [6]

Именно внедрялся ?

← →
Xaker © (2004-11-22 11:13) [9]

Игорь Шевченко © (22.11.04 11:10) [8]
ага, длл подгружал туда и делал что хотел

← →
Piter © (2004-11-22 15:42) [10]

Digitman © (22.11.04 8:45) [5]
если тебе хук нужен лишь для внедрения своего кода в целевое АП

да

хук - не единственный и не универсальный способ сделать это

тогда подскажи другие, плиз. Нужна универсальность, чтобы пахало на линейке win9x и NT

← →
Игорь Шевченко © (2004-11-22 15:47) [11]

Piter © (22.11.04 15:42) [10]

А смысл ?

← →
Digitman © (2004-11-22 15:50) [12]

> Piter © (22.11.04 15:42) [10]

вот именно... смысл ? он всегда должен иметь место быть ...

← →
Piter © (2004-11-22 17:25) [13]

Игорь Шевченко © (22.11.04 15:47) [11]
А смысл ?

чтобы внедрить свою DLL.

вот именно... смысл ?

см. выше. Ты говорил:

> - не единственный и не универсальный способ сделать это

из данной фразы я понимаю, что есть другой способ, универсальный. Подскажи какой?

← →
Xaker © (2004-11-22 17:26) [14]

Piter © (22.11.04 17:25) [13]
CreateRemoteThread на NT на 9х забей

← →
Игорь Шевченко © (2004-11-22 17:40) [15]

Piter © (22.11.04 17:25) [13]

> чтобы внедрить свою DLL.

А смысл ?

← →
Piter © (2004-11-22 23:35) [16]

Побочный вопрос - DLL, которая установила хук, грузится в ВАП процесса только на время срабатывания ловушки, а потом выгружается что ли?

← →
Piter © (2004-11-22 23:36) [17]

Игорь Шевченко © (22.11.04 17:40) [15]
А смысл ?

Блин, ну хочется. Любопытно ведь! Пошушукать там в чужом ВАП...

← →
Piter © (2004-11-22 23:36) [18]

Вы или скажите способы универсальные, если знаете. Или уж не говорите :)

← →
OneFragLeft (2004-11-22 23:48) [19]

>Piter ©
Magic Forum - рулит!!!

← →
Piter © (2004-11-23 00:17) [20]

OneFragLeft (22.11.04 23:48) [19]

я знаю... но при чем здесь это?

← →
Xaker © (2004-11-23 08:46) [21]

Piter © (22.11.04 23:36) [18]
хук, потом CreateThread - и всё, тебя никто не выгрузит

← →
Игорь Шевченко © (2004-11-23 10:42) [22]

> Блин, ну хочется. Любопытно ведь! Пошушукать там в чужом
> ВАП...

ццц.хакер.ру ?

← →
Piter ne doma (2004-11-23 13:24) [23]

>ццц.хакер.ру ?

нет.

Вы знаете как это сделать? Digitman знает? Наверное, вы на ццц.хакер.ру были?

Игонь, мне просто интересно стало изучение внутреннего пространства процессов, вот я и разбираюсь.

А трояна я и при текущих знаниях написать могу. В общем, неплохого трояна. И давно бы написал, если хотел

← →
Piter ne doma (2004-11-23 13:25) [24]

Удалено модератором
Примечание: Дубль

← →
Piter © (2004-11-23 23:26) [25]

Блин, не через клиента одни дубли...

← →
Piter © (2004-11-24 17:59) [26]

Никто не хочет помочь, поделиться информацией?

← →
Игорь Шевченко © (2004-11-24 18:10) [27]

Piter © (24.11.04 17:59) [26]

Гугль хочет помочь, обычно.

← →
Kerk © (2004-11-24 18:30) [28]

> Xaker © (22.11.04 17:26) [14]
> Piter © (22.11.04 17:25) [13]
> CreateRemoteThread
> на NT на 9х забей

В 9x можно добавить поток через WriteProcessMemory

Piter ne doma (23.11.04 13:25) [24]

> А трояна я и при текущих знаниях написать могу. В
> общем, неплохого трояна. И давно бы написал, если хотел

-только не намекай, что в будующей версии MF он будет ;) (шутка)

один мой знакомый писал троя, даже не зная не одной апи, только умея Beep()и Halt ;)

-смотря какого уровня троян ;)))

Игорь Шевченко © (24.11.04 18:10) [27]
Гугль хочет помочь, обычно

спасибо.

Я вот какую фразу вижу:

Digitman © (22.11.04 8:45) [5]
хук - не единственный и не универсальный способ сделать это.

А какие универсальные способы есть?!
И НЕ НАДО меня отсылать к поисковым машинам? Что искать? Внедрение в процессы? В 99% случаев будут попадаться примеры, передерганные из Рихтера. А Рихтер у меня и так есть.
Как будто блин сами не знаете.

Сначала говорят, что способы есть (и судя по всему знают какие). А потом отсылают в гугль. Очень интересно, знания такие секретные, что аж прям поделиться нельзя?

Если важен результат, но не принципиально наличие исходников, то на http://www.madshi.net есть библиотека в виде набора dcu, где в числе прочих есть функции InjectLibrary и UnInjectLibrary. Я проверял, библиотека действительно грузится в АП консольных приложений - причем и в Win98, и в Win2000. Внутренне это реализовано вроде бы через функцию CreateRemoteThread, которая в Win9x хоть и не экспортируется, но все-таки где-то определена.

vertal © (24.11.04 20:45) [31]

> Внутренне это реализовано вроде бы через функцию
> CreateRemoteThread, которая в Win9x хоть и не
> экспортируется, но все-таки где-то определена.

да, странно, что в 9х CreateRemoteThread вроде есть, но не работает ..

vertal © (24.11.04 20:45) [31]
которая в Win9x хоть и не экспортируется, но все-таки где-то определена

ничего не понял. Насколько я знаю, в win9x этой функции просто нету. Или она не реализована...

Xaker © (24.11.04 21:03) [32]
да, странно, что в 9х CreateRemoteThread вроде есть, но не работает ..

а-а-а. Ну значит она объявлена, но не реализована. В win9x таких функций полно...

> А какие универсальные способы есть?!

А универсальные способы описаны у Рихтера, как ни странно. Целая глава, если не ошибаюсь.

Игорь Шевченко © (24.11.04 22:48) [36]
А универсальные способы описаны у Рихтера,

универсальнее хука там ничего нету. Остальные применимы только в определенной версии Windows.

Есть еще CreateProcess - но тогда процесс должен быть порожден моим процессом, а это не универсальность.

Если бы я нашел универсальные способы у Рихтера - не спрашивал бы.

Игорь Шевченко © (25.11.04 0:00) [38]
Серебряной пули нет.

честно говоря не знаю такого выражения. Понимаю это так, что универсального способа нету.

Просто вроде Digitman намекнул, что такой способ есть.

Так все таки - как можно внедриться в консольное приложение? Кроме CreateRemoteThread?

Piter © (25.11.04 22:06) [39]

1) Что ты подразумеваешь под словом внедриться ?
2) Перечисли способы внедрения, которые ты прочитал у Рихтера и объясни, чем каждый из них тебе не подходит.

А каким хуком можно внедриться в консольное приложение? Найти похожие ветки