Inject в svchost.exe

Траблы с инжектом. При инжекте, процесс svchost.exe вылетает ошибка.

Код (Text):

1. format PE GUI 4.0
2.  
3. include 'win32a.inc'
4.  
5. section '.code' code readable writeable executable
6.  
7. stri      STARTUPINFO         ?
8. prci      PROCESS_INFORMATION ?
9. szSvchost db 'svchost.exe', 0
10. oldp      dd 0
11.  
12. entry $
13.   call   apis
14.   mov    [stri.cb], sizeof.STARTUPINFO
15.   invoke CreateProcess, 0, szSvchost, 0, 0, 0, CREATE_SUSPENDED, 0, 0, stri, prci
16.   test   eax, eax
17.   jz     @F
18.   invoke LoadLibraryEx, szSvchost, 0, DONT_RESOLVE_DLL_REFERENCES
19.   test   eax, eax
20.   jz     @F
21.   add    eax, [eax+3Ch]
22.   mov    edi, [eax+28h]
23.   add    edi, [eax+34h]
24.   invoke VirtualProtectEx, [prci.hProcess], edi, _download_end-_download , PAGE_EXECUTE_READWRITE, oldp
25.   invoke WriteProcessMemory, [prci.hProcess], edi, _download, _download_end-_download, 0
26.   invoke ResumeThread, [prci.hThread]
27. @@:
28.   ret
29.  
30. apis:
31.   mov  edi,[MessageBox]
32.   mov  [_MessageBox],edi
33. ret
34.  
35. ;------------------------------------------------------------------------------;
36. _download:
37.  
38.   call  .delta
39.  
40.  .delta:
41.    pop   ebp
42.    sub   ebp,.delta
43.  
44.    xor   esi,esi
45.  
46.    push  MB_OK
47.    lea   eax,[ebp+_Str1]
48.    push  eax
49.    lea   eax,[ebp+_Str1]
50.    push  eax
51.    push  HWND_DESKTOP
52.    call  [ebp+_MessageBox]
53. ret
54.  
55.  .data:
56.    _MessageBox          dd  0
57.    _Str1                db  'Hello!',0
58.  
59. _download_end:
60. ;------------------------------------------------------------------------------;
61.  
62. section '.idata' import data readable writeable
63.  
64. library kernel32, 'kernel32.dll'
65. include 'apia\kernel32.inc'
66. include 'apia\USER32.INC'

 

Когда я инжектил свой код в процессы, то я сначала останавливал ВСЕ потоки того процесса, куда я пытался что-то впихнуть. Это во-первых. Во-вторых, чтобы что-то куда-то записать, надо под это дело память выделить (NtAllocateVirtualMemory(...)), иначе может получиться так, что ты запишешь свой код на код или данные того процесса, куда пишешь. В-третьих, (как следствие) ты пишешь по адресу EDI, а ты уверен, что по этому адресу в процессе svchost.exe память доступна для записи?

 

Пардон, потоки у тебя должны быть остановлены, т.к. ты процесс создаёшь с CREATE_SUSPENDED.

 

нормально инжектится в работающий процесс... а память да, должна быть выделена.

 

отвечу и сюда, также, как и на форум фасма.

воспользуйся командой Int 3, и посмотри что происходит.

У тебя нет адреса МессагаБокса, он неверный лежит в [_MessageBox].

отладчик тебе в помощь.

 

dead_body почему это его нет?

mov edi,[MessageBox]
mov [_MessageBox],edi ;записывается адрес MessageBox в переменную _MessageBox

 

edi = 000020D4

на адрес МасагаБокса никак не похоже.

 

http://board.flatassembler.net/topic.php?p=46765#46765

я тебе тут ответил.

 

"Hurray for malware writers"

 

А можно вопрос в тему - как произвести inject в svchost не будучи админом, то есть не используя SE_DEBUG_PRIVILEGE(доступную по идее только админам)?

 

люди, а откуда взят этот сорец?

 

Pinkbyte
Написать код использующий локальную уязвимость с повышением прав.

 

rain этот сорец я писал, поле того как прочитал статью http://wasm.ru/article.php?article=fwb

 

...разобрался, проблема была в дебаг привелегиях

 

maestro-ant
Такой вот вопрос: "Чем отлаживать внедряемый в посторонний процесс, код?"
Вот этот твой код (или что-то больше) --->

Код (Text):

1. ...
2. _download:
3.  
4.   call  .delta
5.  
6.  .delta:
7.    pop   ebp
8.    sub   ebp,.delta
9.  
10.    xor   esi,esi
11.  
12.    push  MB_OK
13.    lea   eax,[ebp+_Str1]
14.    push  eax
15.    lea   eax,[ebp+_Str1]
16.    push  eax
17.    push  HWND_DESKTOP
18.    call  [ebp+_MessageBox]
19. ret
20. ...

---> как этот код вообще возможно отлаживать, т.е. каким отладчиком? Olly не показывает код, может я не туда смотрю? или может настройки для Olly какие я не учел?

 

=))

 

--

 

hlt + Delphi 7
При вылете процесса можно отладить при помощи Delphi-debugger. Очень хороший отладчик.
Это плюс в сторону делфи.

А никак.
Даже будучи админом без отладочных привилегий инжект в системный процесс ты не зделаешь...
Только сплойт.

ЗАЧЕМ?? В чем смысл? У меня все прекрасно инжектится и без остановки.

 

nitrotoluol
а Olly не может? даже если как-то поднастроить?

 

Без синхронизации тоже все обычно работает. До поры-до времени.