jak muzu spustit muj kod v cizym procesu??? kontak

HackForum

jak muzu spustit muj kod v cizym procesu??? kontak#
je tu nekdo kdo by mi mohl rict jak se da spustit muj kod v cizym procesu??????????????? mam windows 7....... nebo aspon my nekoho doporucit aby my s tim dokazal pomoct....... diky
(odpovědět)
x | 50.30.33.*22.7.2011 19:15
re: jak muzu spustit muj kod v cizym procesu??? ko#
musis najit nejakou chybu preteceni, pripadne pouzit jiz existujici exploit s vlastnim payloadem.
(odpovědět)
Emkei | E-mail | Website | PGP22.7.2011 20:16
re: jak muzu spustit muj kod v cizym procesu??? ko#
S touto odpovědí bych tak úplně nesouhlasil, protože nebylo řečeno, jakým způsobem je spouštění toho kódu myšleno. Pokud by se jednalo o expoitaci chyby, pak bych souhlasil (s tím, že se tedy nemusí jednat jen o přetečení/podtečení). Pokud by se ale jednalo o injektování vlastního kódu do procesu (jak jsem to pochopil já), pak je třeba zjistit si handle procesu, otevřít si s příslušnými právy, zkopírovat do něj svůj kód a vytvořit v něm remote thread. Samotná injektovaná funkce by měla být pokud možno pozicově nezávislá, protože se tím později vyhneš problémům, které s sebou některé ochranné mechanismy přinášejí.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website22.7.2011 22:43
re: jak muzu spustit muj kod v cizym procesu??? ko#
A nebo je možný upravit EXE přímo tak že bude po spuštění načítat DLL knihovnu kde bude vlastní kód. Jde o to vložit kousek ASM (LoadLibrary) a přepsat entry point v EXE. Po spuštění EXE se načte vlastní DLL a pak se pokračuje v původním kódu.
Pokud EXE neimportuje LoadLibrary, nebo pokud se vlastní kousek ASM nevleze na konec EXE je to složitější protože je potřeba upravit sekce.
Tohle řešení je vhodný když se program spouští takže není třeba injektovat do už běžícího procesu.
(odpovědět)
kgsws | 213.192.26.*23.7.2011 3:07
re: jak muzu spustit muj kod v cizym procesu??? ko#
Ano, to je pravda, ale autor postu nezmiňoval úpravu binárky, takže jsem tuto metodu ani neřešil.
Samozřejmě je možné využít injektování DLL knihovny přímo do procesu (DLL injection), kdy je pak volána samotná funkce LoadLibrary s odkazem na vlastní DLL. Tím se ale neodbourá problém hledání adresy funkce LoadLibrary (pokud je v import address table, je to snažší, v opačném případě je nutné implementovat "vlastní funkci" GetProcAddress).
Úpravu EntryPointu bych v žádném případě nedoporučoval, pokud by docházelo k vytvoření nové sekce nebo k rozšíření poslední stávající. Tohle AV programy velice snadno detekují a označí binárku za potenciálně nebezpečnou(jednoduše: pokud je EntryPoint mimo .code/.text sekci, je podezřelý).
Řešením by mohlo být využití Code Cave, kdy se v binárce nalezne dost velký nevyužívaný kus kódu (většinou nějaké zarovnání vyplněné NOPy) a do něj kód zapsat. Pak by modifikace EntryPointu prošla.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website23.7.2011 10:30
re: jak muzu spustit muj kod v cizym procesu??? ko#
Autor postu nezmiňoval žádný způsob, takže je možný že i tento by byl ideální.
Napsal sem to trochu nepřesně, místo "pokud se vlastní kousek ASM nevleze na konec EXE" sem myslel "pokud se vlastní kousek ASM nevleze na konec sekce .text". Na konci .text sekce totiž docela často bývá volný místo, padding, který se dá využít aniž by bylo potřeba upravovat velikost sekce. No a pokud se zvětší .text sekce a přesune entry point sem, tak taky není možnost aby to antivir poznal. I nepřítomnost LoadLibrary se dá obejít, ale už je to trochu pokročilejší.
Zatím jsem upravoval exe aby načítal mojí DLL s dostatkem místa v .text sekci a i s LoadLibrary importem.
(odpovědět)
kgsws | 213.192.26.*27.7.2011 5:20
re: jak muzu spustit muj kod v cizym procesu??? ko#
tak to asi uplne nechapu............ nemuze mi ten kod nekdo s vas napsat??????????????????? bil bych mu hodne dost vdecny............
(odpovědět)
x | 93.174.93.*25.7.2011 14:59

Zpět
 
 
 

 
BBCode