запуск кода или длл на исполнение без CreateRemoteThread

интересует процесс запуска кода(инжектируемого) на исполнение с минимальным использованием апи функций. как я сейчас делаю:
-вычисляю длину внедряемого кода
-ищу в процессе массив из 0 или int3 или nop
-WriteProcessMemory
-CreateRemoteThread
чем можно заменить эти апи? посоветуйте пжл

 

Корректно поставленный вопрос является решением.

 

tiranosaur
1) Вместо поиска 0 или int3 или nop можно сделать VirtualAllocEx.
2) Заменить апи можно на использование соответствующих сервисов либо через ntdll, либо напрямую через sysenter.

 

qwe8013 я VirtualAllocEx откинул
а через sysenter палитсо? или через натив?
Меня интересуют наименее обнаруживаемые способы

 

Как вариант:
1. ищешь в удаленном процессе сочетание байт 0x41 0x00
2. создаешь где-нибудь в PATH файл с именем "A" и записываешь в него инжектируемую длл
3. вызываешь LoadLibraryA в удаленном процессе, передав в качестве параметра адрес той самой строки из п.1

edit: плохо прочитал название топика, ну да ладно - палевных апи функций уже используется в 2 раза меньше)

 

scf
хм. принцип тот же( как и в первом посте. проверка рев и длл палитсо. создание потока- палимся(( замкнутый круг(

 

Гы, можно и без создания потока вроде))) завтра попробую) осталось WriteProcessMemory обойти. идеи или наработки есть у кого нить? поделитесь

 

CreateRemoteThread можно заменить на usermode apc всем потокам либо на хук(iat например) в ап процесса
WriteProcessMemory меняется на меппинг секции

 

Легально никак. Фаеры все такие пути отслеживают. В смысле запись по произвольным адресам и изменение контекстов. Нужно в обход фильтров это делать, кам нибудь хитрым образом(например через рк атаки на сторожевых страницах), понизив кпл, используя уязвимость в интерфейсе(окна, лпк етц), последнее локально для приложения.

 

АРС,маппинг секции, перезапись адресов возврата в стеке,смена контекста потока, посылка сообщений окну.
Нету палевных или не очень способов, все зависит что за защита и что мониторит.
Есть просто вещи которые делает система или приложения между собой, и это можно использовать.

 

totimoud
понизив кпл
всмысле CPL(ring 0/3) ?

Можешь привести наглядный пример кода в котором возможно "рк атаки на сторожевых страницах" ?

 

XshStasX
Я уже приводил. Помещаем аргументы сервиса в буфер с |PAGE_GUARD. В фильтре фозникает STATUS_GUARD_PAGE_VIOLATION и он повторно дёргает сервис. Далее он успешно завершается, так как пейдж уже не гвард. Заюзайте поиск по %GUARD_PAGE.

 

Еще можно перезаписать начало часто вызываемой апи.

 

K10
Нельзя. Патч не годно - детект. Выпилите идею патча со своего разума.

 

totimoud
Вопрос только кто его будет детектить?

 

K10
Мало утилит чтоле. Гмер, рку, авез, виньчек етц. Утилит больше чем софта.

 

totimoud
99.9% пользователей даже таких слов не знают.
С практической (не академической) точки зрения патчи вполне себя оправдывают.

 

K10
Патч: разрушение целостности кодосекций модулей. Это в принципе детектить должны все аверы(я не тестил, ибо рассово не могу сие юзать). Тоесть чем и как они это детектят я не знаю и мне это не интересно. Но в любом случае это уг и руки следует отпилить. Патчгвард вам в пример.

 

totimoud
ПГ работает только в р0, или я ошибаюсь?

 

K10
Вы вообще во всём ошибаетесь. Я вас сказал как должно быть.