писать в процес

Ситуация такая похукан Zw/NtOpenProccess и хук толком снять нельзя.он самовостанавливается.
и блокирует доступ к процесу.

Интересует какие есть способы чтобы читать/писать в память такого процеса из ring 3.

операционка windows xp.

хелп плз.

 

разделяемая память между процессами проще всего... можно код через имя класса окна внедрить...

 

Если нет хуков на запись в память, то поищи открытый хэндл целевого процесса в csrss и скопируй его к себе. Техника стара как мир.

 

Twister
thnx.

можно поподробнее про csrs.exe плз.

 

Twister
thnx. i found CsrWalker !!

 

а варианты если похукан read/writememory ?

 

почему нельзя из кернела?

Как на счет инъекции?

 

а хук вообще в ядре стоит или в юзермоде ?

 

По-видимому подразумевается что хук в ядре, а писать надо из р3. Ну можно в разделяемую физ. память писать.

 

а мне кажется в юзермоде, если говорит что самовосстанавливается - скорей всего есть поток, может даже в каждом процессе где есть перехват, который контролирует первые байт/байты у перехваченных функций, напр 0xE9 (jmp far), изучи внимательно в процессе потоки особенно чото типа baseadress потока.
Чем снимал хук ? попробуй RKU

 

karabas_barabas
А что, хук в ядре не может самовосстанавливаться?

Предлагаю перестать заниматься угадыванием того, что у ТС в голове, а дождаться его ответа.

Опять же. Какая разница чем снимать хук, если перехват восстанавливается?

 

villy
Тоесть у вы хотите прот обойти и писать в целевой процесс по определённму адресу. Тогда вам нужна лазейка. Все классические способы не пройдут. Вам нужна функа, которая в ядро пишет/читает по произвольному адресу. Дальше всё тривиально.

 

снкс всем отписавшим.

Вообщем ситуация такая если похукано NtWriteVirtualMemory, как можно писатся в память?

сейчас разбираюсь с device\physicalmemory, но пока не понял как там получить адресс нужного процеса.
есть ли такие семплы?

По поводу хуков, снимать безсмысленно, сплайсингом востанавливаются.

Еще на уровне идеи, может можно както подгрузить не похуканую ntdll ?

PS. типа из вариантов "пьяного бреда", еще не проверил, что если зделать репарсинг ntdll, зделать копию и изменить названия функции? или с ntdll такие шутки проделывать нелзя?

PPS. как посты здесь редактировать???

 

Если из R3 и по заданному адресу - документированно никак. Если просто инжект кода, можешь воспользоваться моим методом внедрения через класс/надпись окна.

device\physicalmemory прикрыт начиная с w2k3 sp1 (если не ошибаюсь). NtSystemDebugControl тоже.

По поводу ntdll. Бред конечно. Если ты имеешь ввиду длл у себя в процессе, то ты можешь восстановить похуканные функции прочитав оригинал с диска.

ЗЫ. Нет таких слов, как "зделал", "вообщем"

 

villy

Собственно разницу между стабами и хэндлерами в ядре понимаете ?
Вроде как нет..
Перехвачено в ядре ?
Тогда зачем колупаться в нтдлл, если можно обратиться к ядру непосредственно, через прерывания или сисколы..
И зачем обходить какието перехваты, если их можно снять(с ваших слов), тогда доступен нулевой кпл и соответственно вся система..
-
Бред какойто. Определитесь что вам нужно.

 

Twister
про твой метод внедрения, можно плз ссылку.

device\physicalmemory - в xp пашет, у меня основной таргет хр.

Clerk
sorry, прошлый пост писал в не совсем адекватном состоянии.
перехвачено в ядре, через драйвер и перехваты нельзя снять.(при каждом вызове NtCreateThread,NtCreateProcess они востанавливаются).

 

>> про твой метод внедрения, можно плз ссылку

Поиск в гугле по "инжект окно". Если будешь реализовывать, то могу поделиться более актуальной инфой, в статье малость устаревшая.

 

>> Может напишете Part 2 ? Было бы интересно.

Хм... Ну я сейчас дописываю детектор скрытых окон для РкУ. Не знаю на сколько это будет востребованная фича, но раз есть скрытые объекты, значит надо их кому-то детектить. Можно было бы описать в статье детект, но мне кажется эта информация не будет востребована. Ничего нового, по большей части, не предвидится. Ну смещения валидные для всех NT, ну поиск неэкспортируемых переменных, ну и что?.. В общем, я сомневаюсь.