| Вопрос: Вопрос для тех кто считает себя хакером. | Добавлено: 15.09.05 16:50 |
Автор вопроса:  костик
|
| Ответы | Всего ответов: 48 |
|
Номер ответа: 31 Автор ответа:  BUG(O)R ICQ: 827887 Вопросов: 13 Ответов: 142 |
Web-сайт: Профиль | | #31 | Добавлено: 22.09.05 16:44 |
Да, и вообще, как показывает статистика в 70% exe файлов(на моём компе), есть MessageBoxA или MessageBeep 
|
||
|
Номер ответа: 32 Автор ответа: sne Разработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #32 | Добавлено: 22.09.05 20:41 |
| 2BUG(O)R, причем тут IDA?? я же грю находить, а не прописать статически... Зачем тебе нэйтивные функции? | ||
|
Номер ответа: 33 Автор ответа: CyRax  Разработчик Offline Client ICQ: 204447456 Вопросов: 180 Ответов: 4229 |
Web-сайт: Профиль | | #33 | Добавлено: 23.09.05 04:22 |
|
Эти две функции вполне мона вытащить из kernel32 вручную
Находить вручную самому или кодом? Кинь ссылку. Да и потом, по моему kernel32 всеми прогами без исключения импортируется, иначе как бы они находили ExitProcess. |
||
|
Номер ответа: 34 Автор ответа: CyRax Разработчик Offline Client ICQ: 204447456 Вопросов: 180 Ответов: 4229 |
Web-сайт: Профиль | | #34 | Добавлено: 23.09.05 04:32 |
| Единственное что приход в голову - просканировать экспорт из kernel32 на предмет адреса нужной функции. Но это только если файловые API доступны. А иначе разве что переход в нулевое кольцо и прерывания диску. | ||
|
Номер ответа: 35 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #35 | Добавлено: 23.09.05 15:30 |
| На васме было порядочно статей по поиску функций в системных DLL без использования GetProcAddress | ||
|
Номер ответа: 36 Автор ответа: CyRax Разработчик Offline Client ICQ: 204447456 Вопросов: 180 Ответов: 4229 |
Web-сайт: Профиль | | #36 | Добавлено: 24.09.05 05:29 |
| Так это в ран-тайме делается или статически? | ||
|
Номер ответа: 37 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #37 | Добавлено: 24.09.05 19:51 |
| В рантайме | ||
|
Номер ответа: 38 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #38 | Добавлено: 24.09.05 19:52 |
| Это нужно для того, чтобы эксплоиты могли создавать шелл - в очень маленьком коде идет чтение памяти и смотрится, где лежит кернел, а потом в нем ищется GetProcAddress | ||
|
Номер ответа: 39 Автор ответа: CyRax Разработчик Offline Client ICQ: 204447456 Вопросов: 180 Ответов: 4229 |
Web-сайт: Профиль | | #39 | Добавлено: 25.09.05 05:08 |
|
ищется GetProcAddress
В смысле ищется? Его там может и не быть. Откуда ты знаешь по какому адресу он должен находится? Microsoft вроде не гарантирует постоянство адресов в библиотеках для различных версий ОС. |
||
|
Номер ответа: 40 Автор ответа: CyRax Разработчик Offline Client ICQ: 204447456 Вопросов: 180 Ответов: 4229 |
Web-сайт: Профиль | | #40 | Добавлено: 25.09.05 05:14 |
| Допустим ты импортировал одну функцию из kernel32 - ExitProcess(минимальное приложение). В твоём экзешнике указан только адрес этой функции, адреса же самой kernel32 нигде не фигурируют. Загрузчик собственными средствами грузит её и узнаёт из заголовка нужные адреса. | ||
|
Номер ответа: 41 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #41 | Добавлено: 25.09.05 18:49 |
| В минимальном приложении есть ExitProcess, следовательно, в его адресное пространство загружается kernel32.dll, следовательно, хитрым перебором (если бы адреса не менялись, перебор был бы ненужным) можно найти, откуда вызывать GetProcAddress. Лучше почитай статью, я могу что-то напутать и неправильно объяснить. | ||
|
Номер ответа: 42 Автор ответа: CyRax Разработчик Offline Client ICQ: 204447456 Вопросов: 180 Ответов: 4229 |
Web-сайт: Профиль | | #42 | Добавлено: 26.09.05 04:29 |
|
хитрым перебором
Не, такое не катит. Хитрый перебор - это слишком размытое понятие. "его адресное пространство" - это и есть неизвестная. Если ты её знаешь, то тебе и хитрый перебор не нужен. Можно разве что зашить в тело константые адреса для разных операционок. Но это уже не динамически. Скинь мне на мыло (cyrax@hotmail.ru) статью, а то меня wasm.ru не пускает. |
||
|
Номер ответа: 43 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #43 | Добавлено: 26.09.05 07:28 |
|
Меня тоже не пускает
Но Гугл по прежнему рулит, вроде, это немного не то, но тоже работает: http://www.google.com.ua/search?hl=uk&q=%D0%BF%D0%BE%D0%B8%D1%81%D0%BA+%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%B9+%D0%B2+%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B6%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9+kernel32.dll+site%3Awasm.ru&meta= и потом "сохранено на сервере" |
||
|
Номер ответа: 44 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #44 | Добавлено: 26.09.05 18:59 |
|
Не, все должно уже воркать:
26.09.05
+ Восстановлен доступ к сайту с зарубежных IP. 20.09.05 + В связи с причинами технического характера до конца месяца сайт будет виден только с русских IP. |
||
|
Номер ответа: 45 Автор ответа: CyRax Разработчик Offline Client ICQ: 204447456 Вопросов: 180 Ответов: 4229 |
Web-сайт: Профиль | | #45 | Добавлено: 28.09.05 06:53 |
|
Да, уже всё в порядке.
Sharp, Та статья что ты дал - это не то. Мы вроде обсуждаем внедрение в файл, а не в адресное пространство чужого процесса. |
||