CreateRemoteThread???

← →
DeadMeat © (2005-01-26 11:12) [80]

Я так понял Керк, что ты в своем примере релоки меняешь. Вот видимо на это он и матюкнулся... Потому как вчера мы выяснили, что простой CreateRemoteThread срабатывает спокойно..

---
...Death Is Only The Begining...

← →
Kerk © (2005-01-26 11:50) [81]

DeadMeat © (26.01.05 11:12) [80]
Я так понял Керк, что ты в своем примере релоки меняешь. Вот видимо на это он и матюкнулся...

так и есть.

← →
Piter © (2005-01-26 12:40) [82]

xShadow © (26.01.05 9:42) [77]
Злая кстати вешь!
При включении на все приложения любое внедрение в чужое приложение заканчивается крахом приложения

а почему крах?
И внедрение только с помощью CreateRemoteThread? А если с помощью хуков - тоже самое или нет?

Кто владеет инфой по этому вопросу?

← →
xShadow © (2005-01-26 13:17) [83]

> Piter © (26.01.05 12:40) [82]

CreateRemoteThread - отрабатывает нормально, а вот при внесении изменений в приложении цели происходит ошибка.
Сегодня вечером займась тестами.

Оффтоп:
2 Kerk
Где можно скачать твой пример потому как ссылке выдаёт ошибку?

← →
Piter © (2005-01-26 18:47) [84]

xShadow © (26.01.05 13:17) [83]
А вот при внесении изменений в приложении цели происходит ошибка.

это как? не работает WriteProccessMemory или что? Как ты вносишь изменения?

← →
Kerk © (2005-01-26 19:19) [85]

xShadow © (26.01.05 13:17) [83]
Где можно скачать твой пример потому как ссылке выдаёт ошибку?

ссылка нормально качается. только что проверил. попробуй еще раз.

← →
kaZaNoVa © (2005-01-26 20:08) [86]

Piter © (26.01.05 18:47) [84]

> это как? не работает WriteProccessMemory или что? Как
> ты вносишь изменения?

WriteProccessMemory точно работает)

← →
DeadMeat © (2005-01-26 21:54) [87]

Похожу определенные диапазоны адресов проверяются....

---
...Death Is Only The Begining...

← →
Piter © (2005-01-26 22:33) [88]

DeadMeat © (26.01.05 21:54) [87]

поконкретнее можно?

← →
DeadMeat © (2005-01-26 23:12) [89]

Это просто предположение...
Видимо в эти диапазоны входят такие места, как таблица релоков, импорта и т.п...
Может быть и места, занятые самим процессом...
Хотя могу и глупость сказать. Это ведь предположение. У меня нет достаточно информации.

---
...Death Is Only The Begining...

← →
Piter © (2005-01-27 00:12) [90]

DeadMeat © (26.01.05 23:12) [89]
Видимо в эти диапазоны входят такие места, как таблица релоков, импорта и т.п...

А при чем здесь это?

Я как понял, тут говорят о том, что в SP2 появился некий механизм, препятствующий внедрнению в другие процессы. Вот и хотелось бы узнать - это ОБС или факт?
Если такое средство есть - как оно работает?

Внедрению с помощью CreateRemoteThread можно разделить на 2 пункта:

1) запись в память удаленного процесса своего кода потока

2) вызов CreateRemoteThread, чтобы запустить удаленный поток.

какому этапу этот механизм препятствует?

← →
Kerk © (2005-01-27 00:15) [91]

Piter © (27.01.05 0:12) [90]

он препятствует выполнению кода, находящегося в области данных.

← →
GuAV © (2005-01-27 00:26) [92]

>Piter © (27.01.05 0:12) [90]
>
> он препятствует выполнению кода, находящегося в
> области данных.

А как же UPX ы всякие ?

← →
Kerk © (2005-01-27 00:28) [93]

GuAV © (27.01.05 0:26) [92]
А как же UPX ы всякие ?

а он не выполняет код в области данных.

← →
Piter © (2005-01-27 00:41) [94]

Kerk © (27.01.05 0:15) [91]
он препятствует выполнению кода, находящегося в области данных

хм. грамотно...

Значит, функция CreateTemoteThread считай недееспособна для внедрения?

Kerk © (27.01.05 0:28) [93]
а он не выполняет код в области данных

как это? А куда же он распаковывает оригинальный EXE"шник?

P.S. А где настройки этой функции в XP SP2?

← →
Kerk © (2005-01-27 00:44) [95]

Piter © (27.01.05 0:41) [94]
как это? А куда же он распаковывает оригинальный EXE"шник?

насколько я представляю (не уверен). он распаковывает код в секции PE, которые помечены как содержащие код.

← →
Piter © (2005-01-27 15:18) [96]

Kerk © (27.01.05 0:44) [95]
насколько я представляю (не уверен). он распаковывает код в секции PE,

это как это? В секции зашифрованного EXE"шника?!
Но как минимум расшифрованный EXE"шник будет занимать больше места, он туда просто не влезет!

← →
Kerk © (2005-01-27 15:26) [97]

Piter © (27.01.05 15:18) [96]

ты про формат PE почитай. у секции есть физический размер, а есть виртуальный. разные вещи.

← →
kaZaNoVa © (2005-01-27 15:31) [98]

Удалено модератором

← →
Игорь Шевченко © (2005-01-27 15:35) [99]

Удалено модератором

← →
kaZaNoVa © (2005-01-27 15:59) [100]

Kerk © (27.01.05 15:26) [97]

> ты про формат PE почитай. у секции есть физический
> размер, а есть виртуальный. разные вещи.

я когда экспериментировал, физический где-то был 15кб, и один из "виртуальных" 45кб - если не путаю ..

← →
alpet (2005-01-27 17:38) [101]

когда то решал эту проблему. Использовал частично Hook"s и запись в процесс, а вот CreateRemoteThread не пользовал.
В архиве http://alpet.hotmail.ru/wgcsrc.zip можно посмотреть файл chspy.pas в котором через отладку грузится, и chhook.pas в котором через ловушки.

← →
DeadMeat © (2005-01-27 19:57) [102]

> А как же UPX ы всякие ?

Насколько я понял, по умолчанию DEP проверяет только "свои", виндузовые проги.. В смысле "родные" процессы, которые являются "родными" для Windows. Но его можно настроить и на проверку всех процессов в системе. Но изначально, он держит только "свои"... К примеру Explorer из их числа.

---
...Death Is Only The Begining...

← →
xShadow © (2005-01-29 22:31) [103]

Оффтоп:
В общем рузeльтаты экспериментов на WinXP SP2 c системой DEP настроеной на все приложения. Метод Kerk"a работает без проблем и метод kaZaNoVa тоже работает, как ни странно. В то время как половина других приложений перестала работать в частности Опера.
Отдельная история когда работает FireWall накрученный на всю, проверял Outpost и ZoneAlarm тут начинаются чудеса... Вылетают при попытке внедрения сразу же.
Что касается UPX и иже с ним то пакеры арудуют в своём адресном пространстве а это не запрещено.
Пока всё.

← →
Piter © (2005-01-30 02:34) [104]

xShadow © (29.01.05 22:31) [103]
Вылетают при попытке внедрения сразу же.

А что, файерволы разве внедряются в приложения? Зачем им это?

← →
xShadow © (2005-01-30 12:35) [105]

> Piter © (30.01.05 02:34) [104]

Возможно я не правильно описал, у файерволов есть опция как наблюдения за приложениями и за изменениями в них. А внедрения в чужой процес пробую я.

← →
Piter © (2005-01-30 14:56) [106]

Piter © (30.01.05 2:34) [104]
у файерволов есть опция как наблюдения за приложениями и за изменениями в них

ну и что? А для этого им нужно внедряться в процесс?

Я просто не понял фразы:

проверял Outpost и ZoneAlarm тут начинаются чудеса... Вылетают при попытке внедрения сразу же

кто вылетают? Файерволы?

← →
Kerk © (2005-02-01 12:42) [107]

xShadow © (29.01.05 22:31) [103]
В общем рузeльтаты экспериментов на WinXP SP2 c системой DEP настроеной на все приложения. Метод Kerk"a работает без проблем

DeadMeat сказал, что мой код не работает там. Не стыковочка.. так все-таки работает или нет?

Piter © (30.01.05 14:56) [106]
ну и что? А для этого им нужно внедряться в процесс?

Очередное мое скромное предположение. :)
Факт внедрения в процесс файрволы определяют перехватывая АПИ.. а как иначе? :) Хотя это легко проверить можно.. только лень :)

← →
xShadow © (2005-02-01 12:59) [108]

> xShadow © (29.01.05 22:31) [103]

Моя идея такова, что глюки начинаются из-за фаервола, потому как программа отрабатывает без фаервола.

http://www.maxpatrol.com/defeating-xpsp2-heap-protection.htm

Kerk © (01.02.05 12:42) [107]
Факт внедрения в процесс файрволы определяют перехватывая АПИ

не понял. Можно поподробнее?

Имхо, файерволы просто получают список всех модулей программы, которые она использует. После чего рассчитывает контрольную сумму этих модулей на диске.

И по полученным даным файеры и пишут про изменения...
Внедряться здесь, по-моему, совсем не обязательно. Что перехватывать?

Piter © (01.02.05 14:13) [110]
не понял. Можно поподробнее?

ну я же сказал, что это просто предположение. имхо проще ловить момент внедрения, чем ПРИ КАЖДОМ коннекте пересчитывать контрольные суммы.

А как связаны OpenProcess и внедрение?

И как сам Firewall внедряется? Хуками? Так хуками далеко не в каждый процесс внедришься.
А CreateRemoteThread не реализован на win9x

Так что думаю никуда firewall не внедряется... ему это нафиг не нужно

Piter © (01.02.05 15:30) [113]
А как связаны OpenProcess и внедрение?

перечитай ветку. посмотри исходники, что здесь висят.

Piter © (01.02.05 15:32) [114]
И как сам Firewall внедряется? Хуками? Так хуками далеко не в каждый процесс внедришься.
А CreateRemoteThread не реализован на win9x

что АПИ перехватывать нифига не надо никаких потоков добавлять.

Kerk © (01.02.05 15:34) [115]
перечитай ветку. посмотри исходники, что здесь висят

нафига мне это смотреть? Я и так знаю, что внедриться можно без всякого OpenProcess

что АПИ перехватывать нифига не надо никаких потоков добавлять

да ладно?
Ну а то, что нужно внедриться в удаленный процесс, чтобы перехватывать функции - хоть это ты признаешь? Или ты перехватываешь функции без внедрения? :)

Piter © (01.02.05 16:14) [116]
Ну а то, что нужно внедриться в удаленный процесс, чтобы перехватывать функции - хоть это ты признаешь? Или ты перехватываешь функции без внедрения? :)

с внедрением. но потоки тут не при чем.

> Я и так знаю, что внедриться можно без всякого
> OpenProcess

можно.. второй способ - хук. добавление лишней ДЛЛ файрвол отловит.

Piter © (01.02.05 16:14) [116]

> Я и так знаю, что внедриться можно без всякого
> OpenProcess

и без длл и изменения исходного файла можешь?
тогда я признаю, ты профи ..

варианты с недокументированными Zw* функциями не рассматриваем))

firewall никуда не внедряется. А нафига ему внедряться ?

CreateRemoteThread??? Найти похожие ветки