Перехват выполнения созданного процесса

Тема в разделе "WASM.BEGINNERS", создана пользователем bambinorest1, 25 сен 2024.

  1. bambinorest1

    bambinorest1 New Member

    Публикаций:
    0
    Регистрация:
    9 сен 2024
    Сообщения:
    3
    Надо значит создавать процесс и до того как к ентри поинт пойдет управление, поставить хуков в процессе. Как вариант можно создавать процесс в приостановленном режиме и на точке входа записать прыжок к заранее записанному шеллкоду в процессе. Но я где-то тут на форуме очень давно читал про одну технику как это можно сделать. Суть в том что когда главный поток процесса еще находится на выполнении в загрузчике где то, то там где то на стеке лежит адрес точки входа который можно просто перезаписать и дальше просто возобновить поток и все будет по красоте. Но я че то это не смог найти сейчас
     
  2. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    2.000
    Вообще адрес точки входа в PE-заголовке лежит, но нафига всё вот это вот, если можно в процессе, созданном с флагом CREATE_SUSPENDED, тупо создать свой поток?
     
  3. Marylin

    Marylin Active Member

    Публикаций:
    0
    Регистрация:
    17 фев 2023
    Сообщения:
    196
  4. alex_dz

    alex_dz Active Member

    Публикаций:
    0
    Регистрация:
    26 июл 2006
    Сообщения:
    458
    а часть 2 найдется?
     
  5. Marylin

    Marylin Active Member

    Публикаций:
    0
    Регистрация:
    17 фев 2023
    Сообщения:
    196
    alex_dz нравится это.
  6. alex_dz

    alex_dz Active Member

    Публикаций:
    0
    Регистрация:
    26 июл 2006
    Сообщения:
    458
  7. Mikl___

    Mikl___ Супермодератор Команда форума

    Публикаций:
    14
    Регистрация:
    25 июн 2008
    Сообщения:
    3.797
    alex_dz, здесь ссылки на Статьи Коцита с сайтов tgsa.narod.ru, cyberforum.ru и codeby.net, ссылки обновляются по мере появления новых статей
     
    Marylin и alex_dz нравится это.
  8. Marylin

    Marylin Active Member

    Публикаций:
    0
    Регистрация:
    17 фев 2023
    Сообщения:
    196
    Это реакция оли на секцию tls, а потому на практике трюк не завоевал доверия, и его нужно расценивать как просто ещё одну возможность в теории. Сейчас любой отладчик в настройках имеет опцию "Перехватывать TLS на старте" - достаточно взвести эту галку, как упрёмся в защитный механизм.

    Olly2.png x64Dbg.png
     
    Mikl___ нравится это.