Inject в svchost.exe

_sheva740
Ставишь в olly options->just-in-time debugging->make OllyDbg...
И в начало кода который нужно отладить int 3. Олька вылетит где надо.

Иногда почему-то не срабатывает тогда делай так: приаттачиваешься к процессу, в который хочешь внедряться и отпускаешь его работать. потом внедряешь свой код в котором где надо int 3 стоит. Надо чтобы в ольке стояло INT 3 breaks.

Тоже не пойму зачем. Пока мы не хучим функций или ещё чего-нибудь не делаем то зачем?

 

asd
Спасибо за совет!
Я стянул с сайта OllyDbg 1.10 сделал как ты сказал и теперь вываливается новое окно с нужным кодом!
Супер!!!

 

>> У меня все прекрасно инжектится и без остановки

так и должно быть. иногда это даже нужно (когда сам хост процесс стартует новые треды)


а принудительно останавливать треды нада только при патче инструкций на инструкции большего размера. кроме того усыпление ждущего треда может вызвать дедлок

 

Хотел узнать по поводу адреса строки _Str1 в этом коде.
В тот момент когда начинает выполняться код

Код (Text):

1. ...
2. _download:
3.  
4.   call  .delta
5.  
6.  .delta:
7.    pop   ebp
8.    sub   ebp,.delta
9.  
10.    xor   esi,esi
11.  
12.    push  MB_OK
13.    lea   eax,[ebp+_Str1]
14. ...

адрес строки _Str1 = 40162C

Код (Text):

1.   010010BF   E8 00000000       CALL svchost.010010C4
2.   010010C4   5D                     POP EBP
3.   010010C5   81ED B6114000    SUB EBP,4011B6
4.   010010CB   8D85 2C164000    LEA EAX,DWORD PTR SS:[EBP+40162C]

а как изменить программу выше, чтобы _Str1 = (ну гдето +-)0100118A, ведь эта строка там на самом деле и лежит?

 

fr0b-p

а можно поподробнее почему

 

Еще вопрос :
- а если я в шел код помещу вызов сврей функции из DLL
- этот шел выполню
то фаервол пропутит меня и решит что у этой фун-и теже права что и у системного процесса svhost?

Просто что-то долго писать код отсылки письма базонезависимым кодом.

Это правильный подход для преодоления фаервола?

 

частный случай (хотя не исключаю, что сейчас все такие умные): Outpost Firewall 4.0.1007.7323 (591) свежачок, палит все попытки изменения памяти чужого процеса; но если тебе удасться пробится в другой процес, то пропустит, куда ж он денеться