> > эксплойтю прогу в Import Table которой нет > > LoadLibraryA...есть альтернатива? > > Чёрт, кажется штраф случайно поставил. Это у меня впервые. > Может можно вызвать какую-то функцию, которая загрузит > нужные библиотеки. Например, по открытии диалогового окна > выбора файла тьма всего загружается.
Только это можно будет сделать только для конкретной винды.
А раз уж для конкретной, то можно и иначе:
kernel32.dll в твой процесс загружен, поскольку адрес, куда он загружен фиксированный, то и LoadLirrary можно вызвать.
> ничего не понял - у тебя LoadLibraryA не работает что-ли? есть некий список импорта Win32-приложения.Чтобы загрузить нужную мне библиотеку которая расширила бы мои возможности (WININET.dll), нужно чтобы в числе импортируемых ф-ций бала LoadLibrary.Её там нет.
вот сопсна и всё...
LoadLibrary (а точнее LoadLibraryA) находиться в kernel32.dll, которая грузиться любым пользовательским процессом по фиксированному адресу. Т.о. эту ф-цию можно не включать в список импорта, просто вызываешь её по фиксированному адресу, например в NT это 0x77E8A254. Определить этот адрес можно так:
> > ничего не понял - у тебя LoadLibraryA не работает > что-ли? > есть некий список импорта Win32-приложения.Чтобы загрузить > нужную мне библиотеку которая расширила бы мои возможности > (WININET.dll), нужно чтобы в числе импортируемых ф-ций бала > LoadLibrary.Её там нет. > вот сопсна и всё...
[Win32] :) Если бы у него была GetProcAddress, он бы не спрашивал, наверное.21.03.02 18:19 Автор: KMiNT21 <http://blog.kmint21.com> Статус: Member
Речь о том, что если точно известно на какой винде это должно работать, то можно посмотреть адрес LoadLibrary и (поскольку kernel32.dll грузиться по фиксированному адресу во все процессы) вызвать её непосредственно, жёстко прописав её адрес в эксплоит.
[Win32] Ты не понял - может она у него есть.22.03.02 10:56 Автор: KMiNT21 <http://blog.kmint21.com> Статус: Member
По поводу "[Win32] Ты не понял - может она у него есть."
Я не верю, что он НЕ СМОГ ДОГАДАТЬСЯ, что если есть GetProcAddress, то можно получить и LoadLibrary.
> Речь о том, что если точно известно на какой винде это > должно работать, то можно посмотреть адрес LoadLibrary и > (поскольку kernel32.dll грузиться по фиксированному адресу > во все процессы) вызвать её непосредственно, жёстко > прописав её адрес в эксплоит.
Вот-вот. Это уже другой вопрос. Да, может, конечно.
Я когда-то экспериментировал под 95-й. Прикольно - написал прого вообще без импортов, но которая выз. некоторые API. :-)
[Win32] Ты или я не понял, но это не важно.23.03.02 02:40 Автор: Biasha <Бяша> Статус: Member
> Гм.... :) Снова ты как-то смешиваешь разное. Разного не бывает.
> По поводу "[Win32] Ты не понял - может она у него есть." > > Я не верю, что он НЕ СМОГ ДОГАДАТЬСЯ, что если есть > GetProcAddress, то можно получить и LoadLibrary. Я так понял: ВОВАН говорит, что "Определить этот адрес можно так: FARPROC pLoadLibrary = GetProcAddress( GetModuleHandle("kernel32.dll"), "LoadLibraryA"); " и имеет в виду не код в експлоите.
Ладно, какая разница, если всё и так понятно.
И про оптимизацию я тебя не понял - конкретно на вопрос сабжа того ответь, а не теории совместимости разводи.
[Win32] это точно. :-)25.03.02 11:46 Автор: KMiNT21 <http://blog.kmint21.com> Статус: Member
> Я так понял: ВОВАН говорит, что "Определить этот адрес > можно так: FARPROC pLoadLibrary = GetProcAddress( > GetModuleHandle("kernel32.dll"), "LoadLibraryA"); "
Вот-вот. Но для этого ведь в импортах должна быть еще функция GetProcAddress! Понимаешь о чем я? :) А если бы он увидел, что есть такая функция, он бы догадался что можно получить и все ост. эксп. функции загруженных модулей.
> Ладно, какая разница, если всё и так понятно. > И про оптимизацию я тебя не понял - конкретно на вопрос > сабжа того ответь, а не теории совместимости разводи.
Ты про другую нить? Ну так я же так и написал "Subj: кстати, об оптимизации (по размеру)". А дальше уже пошли какие-то заметки о смысле жизни. :-) Зачем? Я просто это упомянул - может пригодится кому-нибудь. Так что, забудем. :-)
[Win32] LoadLibraryA18.03.02 21:21 Автор: Biasha <Бяша> Статус: Member
> эксплойтю прогу в Import Table которой нет > LoadLibraryA...есть альтернатива?
Чёрт, кажется штраф случайно поставил. Это у меня впервые.
Может можно вызвать какую-то функцию, которая загрузит нужные библиотеки. Например, по открытии диалогового окна выбора файла тьма всего загружается.
[Win32] LoadLibraryA20.03.02 06:32 Автор: Biasha <Бяша> Статус: Member
> > эксплойтю прогу в Import Table которой нет > > LoadLibraryA...есть альтернатива? > > Чёрт, кажется штраф случайно поставил. Это у меня впервые. > Может можно вызвать какую-то функцию, которая загрузит > нужные библиотеки. Например, по открытии диалогового окна > выбора файла тьма всего загружается.
Только это можно будет сделать только для конкретной винды.
А раз уж для конкретной, то можно и иначе:
kernel32.dll в твой процесс загружен, поскольку адрес, куда он загружен фиксированный, то и LoadLirrary можно вызвать.
> > эксплойтю прогу в Import Table которой нет > > LoadLibraryA...есть альтернатива? LoadLibraryW :)
ExA, ExW
а ещё они могут просто вручную адрес LoadLibrary искать, а не через импорт
а ты уверен что прога сама загружает длл? может всё грузится при её старте и ей не нужна LoadLibrary?
> > Чёрт, кажется штраф случайно поставил. Это у меня впервые. > Может можно вызвать какую-то функцию, которая загрузит > нужные библиотеки. Например, по открытии диалогового окна > выбора файла тьма всего загружается. и потом не выгружается :(
[Win32] тебе наверное инфа по вирям больше поможет21.03.02 14:43 Автор: KMiNT21 <http://blog.kmint21.com> Статус: Member
Если я не ошибаюсь ,то от билда к билду адрес ,да и сам kernel32.dll, меняются...с вытекающими. Может кто подскажет как "просканировать память" на предмет местонахождения ,к примеру, ImportTable.
[Win32] Про Kernel3228.03.02 08:15 Автор: demask Статус: Незарегистрированный пользователь
> Если я не ошибаюсь ,то от билда к билду адрес ,да и сам > kernel32.dll, меняются...с вытекающими. Может кто подскажет > как "просканировать память" на предмет местонахождения ,к > примеру, ImportTable.
[Win32] Да, меняется адрес. Но не так уж и часто. А как найти - в тех доках неплохо описано.22.03.02 10:58 Автор: KMiNT21 <http://blog.kmint21.com> Статус: Member
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
