Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
 |  |  |
замечу что такой код некорректен: 24.05.07 18:23 Число просмотров: 4503
Автор: z0 <z0> Статус: Member
|
> Смысл в том, что вместо WriteProcessMemory используется > мэппинг в память target-процесса, а вместо > CreateRemoteThread - вставляется APC в поток-жертву.
замечу что такой код некорректен:
CreateProcess( ... CREATE_SUSPENDED ... )
VirtualAllocEx()
WriteProcessMemory()
CreateRemoteThread( обычно на LoadLibraryA )
WaitForSingleObject()
ResumeThread( ProcInfo.hProcess )
иногда (зависит от набора ДЛЛ) при этом ломается список модулей процесса
глюки самые невероятные
см:
http://forum.sources.ru/index.php?showtopic=177691&view=showall
http://wasm.ru/forum/viewtopic.php?pid=168358
правильно имеено так как на рутките, вместо CreateRemoteThread -> QueueUserAPC
|
<hacking>
|
 |
heh 03.06.07 10:39 Штраф: 30 [Ustin, JINN]
Автор: krayziebone Статус: Незарегистрированный пользователь
|
|
 |
Ботва ИМХО. 23.05.07 12:08
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Ботва ИМХО.
Я не сварщик, но попытался понять смысл. Он не аттачится к существующему процессу, а создаёт свой, с таким же уровнем привилегий. Ну да, ты можешь в созданном тобой процессе изменять память и контекст. И чё? смысла особого не вижу. Зубры, вы не смотрели? Может я чего-то не вкурил?
коля
|
 |  |
Ну смысл не совсем в этом 23.05.07 13:40
Автор: amirul <Serge> Статус: The Elderman
|
> Ботва ИМХО.
Ну не совсем ботва.
> Я не сварщик, но попытался понять смысл. Он не аттачится к > существующему процессу, а создаёт свой, с таким же уровнем > привилегий. Ну да, ты можешь в созданном тобой процессе
Ага. Никакого privilege escalation-а нету.
> изменять память и контекст. И чё? смысла особого не вижу. > Зубры, вы не смотрели? Может я чего-то не вкурил?
Смысл в том, что вместо WriteProcessMemory используется мэппинг в память target-процесса, а вместо CreateRemoteThread - вставляется APC в поток-жертву.
|
 |  |  |
замечу что такой код некорректен: 24.05.07 18:23
Автор: z0 <z0> Статус: Member
|
> Смысл в том, что вместо WriteProcessMemory используется > мэппинг в память target-процесса, а вместо > CreateRemoteThread - вставляется APC в поток-жертву.
замечу что такой код некорректен:
CreateProcess( ... CREATE_SUSPENDED ... )
VirtualAllocEx()
WriteProcessMemory()
CreateRemoteThread( обычно на LoadLibraryA )
WaitForSingleObject()
ResumeThread( ProcInfo.hProcess )
иногда (зависит от набора ДЛЛ) при этом ломается список модулей процесса
глюки самые невероятные
см:
http://forum.sources.ru/index.php?showtopic=177691&view=showall
http://wasm.ru/forum/viewtopic.php?pid=168358
правильно имеено так как на рутките, вместо CreateRemoteThread -> QueueUserAPC
|
 |  |  |  |
ну ладно, уговорили - гениально 24.05.07 20:18
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
хотя ещё N лет назад рихтер описывал code injection для Win32
|
 |  |  |  |  |
да 25.05.07 13:52
Автор: z0 <z0> Статус: Member
|
> хотя ещё N лет назад рихтер описывал code injection для > Win32
да
и все так делали
а потом оказалось - не работает
конфирмится 100% например на winhlp32.exe
|
|
|