Как инжектить длл, записанную в виде hex из exe?

Question

[StillDontKnowMyName]

Условие такое: есть файл exe, он должен заинжектить длл в другой процесс, при чём длл не в виде файла, а в виде последовательности { 0x54, 0xf6, 0x4a, ..., которую записывают в исходный код в хедер или ресурс.

Answer 1

[Владимир Коротенко]

Да черт подери что за вопрос, берёшь значит таблицу входа, находишь точку входа, перекидываешь ее в конец, вставляешь ссылку на свой код и в конце переход на перенесенную оригинальную точку входа. Что тут сложного то?

Comments

[jcmvbkbc]

Скажи, ты правда думаешь, что StillDontKnowMyName может извлечь какую-то пользу из твоего ответа?

[DevMan]

jcmvbkbc, нет конечно. но на этот вопрос могут набрести и более другие люди.

[Владимир Коротенко]

jcmvbkbc, Нет не может, разве что по ключевым словам начнет искать, и то потонет в мусоре, или выплывет и найдет ответы, кто знает? Впрочем моя цель другая что бы не задавали дурацких вопросов, или как минимум спрашивали то что можно объяснить.

[Владимир Коротенко]

jcmvbkbc, Причем такими трюками я занимался наверное раз в жизни, тут кстати задавал вопрос, разжевал для себя и выбросил.

[jcmvbkbc]

моя цель другая что бы не задавали дурацких вопросов, или как минимум спрашивали то что можно объяснить

Владимир Коротенко, для этого есть кнопка "пожаловаться".

такими трюками я занимался наверное раз в жизни, тут кстати задавал вопрос, разжевал для себя и выбросил.

Я очень рад за тебя. Но какое отношение это имеет к этому конкретному вопросу?

[jcmvbkbc]

на этот вопрос могут набрести и более другие люди.

DevMan, ну вот я набрёл на этот ответ на этот вопрос, я понимаю о чём речь, но я не вижу, каким образом кто бы то ни было мог извлечь из этого ответа пользу.

[Владимир Коротенко]

jcmvbkbc, Человеку ответили.
Сленг который используется ищется довольно легко.
Так легкая разминка для мозгов. Что то конкретное да ради бога Window DDK, Linux kernel, IDA

Чем это лучше предыдущего ответа?

[jcmvbkbc]

Чем это лучше предыдущего ответа?

Владимир Коротенко, Ок, давай я попробую тебе показать, чем этот ответ плох.

Объясни пожалуйста вот эту часть своего ответа

берёшь значит таблицу входа, находишь точку входа,

в контексте заданного вопроса:

есть файл exe, он должен заинжектить длл в другой процесс

[Владимир Коротенко]

jcmvbkbc,
Все просто берешь таблицу исполняемого файла
https://docs.microsoft.com/en-us/windows/win32/deb...

Неожиданно он на ресурсе Microsoft.
Просто смотришь что такое точка входа
https://docs.microsoft.com/en-us/windows/win32/deb...

Дальше понимаешь что такое секция, если твой код не влез, добавляешь новую, ну или добавляешь в хвосты файла.

Извини конечно, это форменное издевательство, но обычно исследователь так и ищет. И очень мало руководств как там копаться в кишках операционной системы

[jcmvbkbc]

берешь таблицу исполняемого файла

какого, своего, или того, в который инжектишься?

Просто смотришь что такое точка входа
https://docs.microsoft.com/en-us/windows/win32/deb...

Это ссылка на Resource Data Entry.

Дальше ты пишешь

находишь точку входа, перекидываешь ее в конец, вставляешь ссылку на свой код и в конце переход на перенесенную оригинальную точку входа.

-- ты собираешься инжектиться в ресурс?

[Владимир Коротенко]

Не ту ссылку дал
AddressOfEntryPoint

[jcmvbkbc]

AddressOfEntryPoint

Владимир Коротенко, ага, т.е. ты предлагаешь менять место с которого запускается исполняемый файл. Но вопрос говорит

заинжектить длл в другой процесс

что подразумевает, что другой процесс уже выполняется и EntryPoint далеко позади.
Ты предлагаешь вместо этого редактировать исполняемый файл из которого запускается "другой процесс". Это решение другой задачи, не правда ли?

[Владимир Коротенко]

jcmvbkbc, одна из техник, вопрос был немного расплывчат
The CreateRemoteThread & WriteProcessMemory Technique
https://www.codeguru.com/cpp/w-p/system/processesm...

[jcmvbkbc]

Владимир Коротенко, смотри, как здорово: вместо сленга и снисходительных вопросов можно привести ссылку на решение поставленной задачи. Ты не находишь, что это существенно лучше?

[Владимир Коротенко]

jcmvbkbc, А как же померяться? И в ходе этого выяснить что такое PE header, точки входа, получить наводку на memory remap?

Да и просто поболтать?

[Владимир Коротенко]

jcmvbkbc, Кстати тот самый вопрос, что прискорбно но на него не ответили
«Возможно DLOADER.Trojan». Как этого избежать?

[jcmvbkbc]

А как же померяться?
...
Да и просто поболтать?

Владимир Коротенко, пожаловаться -> Это какая-то реплика, а не ответ.