Заинжектить длл в трастед аппликейшн не открывая процесс (без реестра)

Тема в разделе "WASM.WIN32", создана пользователем tylerdurden, 22 сен 2007.

Страница 1 из 2
  1. tylerdurden

    tylerdurden New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2004
    Сообщения:
    322
    Вот пришел позавчера в голову такой извращенческий способ :) Сегодня реализовал. Или поздно, уже всем известно ? :) Вообще фаеры ловят что-нибудь кроме NtOpenProcess (реестр просьба не предлогать) ?
     
    tylerdurden, 22 сен 2007
    #1
  2. Mental_Mirror

    Mental_Mirror New Member

    Публикаций:
    0
    Регистрация:
    7 май 2007
    Сообщения:
    431
    tylerdurden
    Ну вроде как всё должны ловить. Все зависит от Вашего способа.
     
    Mental_Mirror, 22 сен 2007
    #2
  3. tylerdurden

    tylerdurden New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2004
    Сообщения:
    322
    Непалиться, ничем, проверенно, антивири тоже все молчат
     
    tylerdurden, 23 сен 2007
    #3
  4. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
    топик ни о чем, нет кода - нет предмета обсуждения ;)
     
    Asterix, 23 сен 2007
    #4
  5. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    tylerdurden
    Выкладывай. Если NtMapViewOfSection то боян.
     
    EP_X0FF, 27 сен 2007
    #5
  6. Mental_Mirror

    Mental_Mirror New Member

    Публикаций:
    0
    Регистрация:
    7 май 2007
    Сообщения:
    431
    EP_X0FF
    NtMapViewOfSection нужен hProcess.
     
    Mental_Mirror, 27 сен 2007
    #6
  7. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Хэндл на процесс можно получить неявным образом из csrss
     
    EP_X0FF, 27 сен 2007
    #7
  8. tylerdurden

    tylerdurden New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2004
    Сообщения:
    322
    > Хэндл на процесс можно получить неявным образом из csrss
    А как открыть csrss ? :)
     
    tylerdurden, 27 сен 2007
    #8
  9. hwegh

    hwegh New Member

    Публикаций:
    0
    Регистрация:
    26 сен 2007
    Сообщения:
    54
    Аффтар топега занимается самопиаром. Если не хочешь выкладывать, то нафига пи.деть?
    Или может быть аффтар хочет разжиться парочкой способов инжекта, которые могут привести присутствующие в попытках угадать о чем он говорит?
    Короче аффтар гони код, или иди в биореактор.
     
    hwegh, 27 сен 2007
    #9
  10. tylerdurden

    tylerdurden New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2004
    Сообщения:
    322
    Бугога :) Топик в хип ! :) Хотел узнать сколько еще людей юзают тоже самое, вот и все
     
    tylerdurden, 27 сен 2007
    #10
  11. hwegh

    hwegh New Member

    Публикаций:
    0
    Регистрация:
    26 сен 2007
    Сообщения:
    54
    Аффтар, ты в своем уме? Интересно как эти люди должны узнавать о чем ты говоришь?
    Я к примеру знаю не один способ такого инжекта, и как я должен угадать о каком их них идет речь? Или может это новый способ о котором я не знаю?
    Ну а писать свои догадки на радость аффтара я не собираюсь, ибо не дурак. Так что топег фтопку.
     
    hwegh, 27 сен 2007
    #11
  12. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    tylerdurden

    А ты не на над Comodo Firewall работаешь? Если да, то понятны причины создания топега. Собираемся прикрыть имеющиеся дырки? =)
     
    EP_X0FF, 27 сен 2007
    #12
  13. tylerdurden

    tylerdurden New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2004
    Сообщения:
    322
    Нет, я работаю над другим проектом :) Крыть имеющиеся дырки учитывая что он инжектит свою длл через аппинит не представляется мне возможным вообще :)
     
    tylerdurden, 27 сен 2007
    #13
  14. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    А... я тоже пирожками торгую.
     
    EP_X0FF, 28 сен 2007
    #14
  15. Cr4sh

    Cr4sh New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2006
    Сообщения:
    668
    есть несколько универсальных способов инжекта (не обязательно библтотеки) которые не выпoлняют каких-либо явных операций с целевым процессом, не требуют загрузки дровов, снятия хуков, итд., рабоают из под любой учетки и ближайшее время врядли будут чем-то детектится... щастливого ресерча, никого ты этим топиком не удивил, инжект библиотеки suxx))
     
    Cr4sh, 28 сен 2007
    #15
  16. k3internal

    k3internal New Member

    Публикаций:
    0
    Регистрация:
    11 янв 2007
    Сообщения:
    607
    EP_X0FF
    а перожки с павидлом?=))
     
    k3internal, 28 сен 2007
    #16
  17. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    k3internal

    Только для счастливых обладателей павидлодетекторов :)
     
    EP_X0FF, 28 сен 2007
    #17
  18. z0mailbox

    z0mailbox z0

    Публикаций:
    0
    Регистрация:
    3 фев 2005
    Сообщения:
    635
    Адрес:
    Russia СПБ
    с павидлом не рулит
    рулит с капустой, ну и конешна с яйцами :)))
     
    z0mailbox, 28 сен 2007
    #18
  19. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
    с грибами рулит ;)
     
    Asterix, 28 сен 2007
    #19
  20. asd

    asd New Member

    Публикаций:
    0
    Регистрация:
    12 мар 2005
    Сообщения:
    952
    Адрес:
    Russia
    морковка с маком:)
     
    asd, 28 сен 2007
    #20
Страница 1 из 2