Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
замечу что такой код некорректен: 24.05.07 18:23 Число просмотров: 4503
Автор: z0 <z0> Статус: Member
|
> Смысл в том, что вместо WriteProcessMemory используется
> мэппинг в память target-процесса, а вместо
> CreateRemoteThread - вставляется APC в поток-жертву.
замечу что такой код некорректен:
CreateProcess( ... CREATE_SUSPENDED ... )
VirtualAllocEx()
WriteProcessMemory()
CreateRemoteThread( обычно на LoadLibraryA )
WaitForSingleObject()
ResumeThread( ProcInfo.hProcess )
иногда (зависит от набора ДЛЛ) при этом ломается список модулей процесса
глюки самые невероятные
см:
http://forum.sources.ru/index.php?showtopic=177691&view=showall
http://wasm.ru/forum/viewtopic.php?pid=168358
правильно имеено так как на рутките, вместо CreateRemoteThread -> QueueUserAPC
|
|
<hacking>
|
|
heh 03.06.07 10:39 Штраф: 30 [Ustin, JINN]
Автор: krayziebone Статус: Незарегистрированный пользователь
|
|
|
|
Ботва ИМХО. 23.05.07 12:08
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Ботва ИМХО.
Я не сварщик, но попытался понять смысл. Он не аттачится к существующему процессу, а создаёт свой, с таким же уровнем привилегий. Ну да, ты можешь в созданном тобой процессе изменять память и контекст. И чё? смысла особого не вижу. Зубры, вы не смотрели? Может я чего-то не вкурил?
коля
|
| |
Ну смысл не совсем в этом 23.05.07 13:40
Автор: amirul <Serge> Статус: The Elderman
|
> Ботва ИМХО.
Ну не совсем ботва.
> Я не сварщик, но попытался понять смысл. Он не аттачится к
> существующему процессу, а создаёт свой, с таким же уровнем
> привилегий. Ну да, ты можешь в созданном тобой процессе
Ага. Никакого privilege escalation-а нету.
> изменять память и контекст. И чё? смысла особого не вижу.
> Зубры, вы не смотрели? Может я чего-то не вкурил?
Смысл в том, что вместо WriteProcessMemory используется мэппинг в память target-процесса, а вместо CreateRemoteThread - вставляется APC в поток-жертву.
|
| | |
замечу что такой код некорректен: 24.05.07 18:23
Автор: z0 <z0> Статус: Member
|
> Смысл в том, что вместо WriteProcessMemory используется
> мэппинг в память target-процесса, а вместо
> CreateRemoteThread - вставляется APC в поток-жертву.
замечу что такой код некорректен:
CreateProcess( ... CREATE_SUSPENDED ... )
VirtualAllocEx()
WriteProcessMemory()
CreateRemoteThread( обычно на LoadLibraryA )
WaitForSingleObject()
ResumeThread( ProcInfo.hProcess )
иногда (зависит от набора ДЛЛ) при этом ломается список модулей процесса
глюки самые невероятные
см:
http://forum.sources.ru/index.php?showtopic=177691&view=showall
http://wasm.ru/forum/viewtopic.php?pid=168358
правильно имеено так как на рутките, вместо CreateRemoteThread -> QueueUserAPC
|
| | | |
ну ладно, уговорили - гениально 24.05.07 20:18
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
|
хотя ещё N лет назад рихтер описывал code injection для Win32
|
| | | | |
да 25.05.07 13:52
Автор: z0 <z0> Статус: Member
|
> хотя ещё N лет назад рихтер описывал code injection для
> Win32
да
и все так делали
а потом оказалось - не работает
конфирмится 100% например на winhlp32.exe
|
|
|
подробно о проекте
Анализ криптографических сетевых...
