Трюк с PE (NULL EntryPoint)

deLight
Я говорил про свой код, а не про запуск Shell32.dll как EXE. Кусок кода есть в топике, который будет работать как ехе при первом запуске, а потом, этот же файл работает как глобальный сниффер клавиш в системе путём хуков.
В EntryPoint проверяем длл ли мы, если да идём на стандартный свитч DLL_PROCESS_ATTACH..., иначе выполняем всё что нужно, мы же обычное приложение, никаких ограничений...

 

так вобщем и драйвер грузится так что вопросов больше нет
разные точки для длл екзе и сис - в зависимости от того что нужно меняем точку флаги и подсистему IMAGE_FILE_DLL/SUBSYSTEM_NATIVE
самому сделать можно но вод подгрузить "левый" нет

 

ohne
Да. Именно так. Но вот с драйвером врядли получится. Он либо не загрузиться как драйвер либо наоборот.
А насчёт подгрузить левый, может получиться например, если поставить EntryPoint на экспортируемую процедуру, которую можно вызвать ,например, с помощью RunDll32.

 

попробуй

 

Вернусь к вопросу

Собственно ответ на вопрос я получил, но вот незадача, как можно вытворить подобное вручную с файлом (редактируя его в PE редакторе), в фасме не силен, возможно ли такое
повторить в масме?

 

JCronos
вобщемто можно и на С. поправить немного линкер и вперед

 

просто сменить флаг не выходит?

 

JCronos
ohne
Вам еще не надоело?
Вам уже несколько раз объяснили чем EXE отличается от DLL (и не ТОЛЬКО битом IMAGE_FILE_DLL). EntryPoint у DLL предназначена для инициализации и деинициализации самой либы. Вы что на экране то хотите увидеть при вызове такого EntryPoint? Даже если доработать EntryPoint напильником, то визуально на экране вы наврдяли что-то увидите, т.к. обычно библиотеки на этапе инициализации никаких красивостей пользователю не показывают, а весь функционал реализован в экспортируемых функциях (да и опять же не факт что либа вам на экран что-то будет показывать при их вызове).

 

при чем тут надоело
это ведь работает если в ручную писать такой код
менять чужой естессно не выйдет
все что ты сказал - я уже и сам объяснял,
не следишь за темой

 

Гы, теория это хорошо, но я такое давно уже где-то видел ))

 

да уже 100 лет наверное файловые черви такие: и exe и sys и длл могут инфектить
за счет разных точек входа

было бы интересно увидеть пример реального софта который это юзает, (всякая нечисть естественно не в счет)