PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : relocation, api-adressen aus IAT, nötig?


CYSER
22.12.2010, 18:40
Ich versuche gerade ein Snippet zur Thread-injection zu reparieren ( ohne große Vorkenntnisse im Bereich PE natürlich ^_^ ).

Ich bin auf das snippet eines Typen names "Anubis" gestolpert, released 2006 und habs natürlich ausprobiert - was leider nicht funktionierte.

Nach einigem Googlen habe ich herausgefunden das CreateremoteThread bei Vista/win7 nicht mehr funktioniert und habe mir eine funktion dazu gepastet die dieses Problem terminieren sollte ...

Jetzt fehlt mir eigentlich nur noch die Funktion um die nötigen Adressen der genutzten dlls aus dem IAT zu holen.

Hat wer lust mir dabei zu helfen? Oder wenigstens brauchbare Tutorials zum PE-Format die möglichst in deutsch sind weil es schon schwer ist mir die ganzen Begriffe zu merken wie z.B.: OptionalHeader,PIMAGE_DOS_HEADER (..) ? :D
G36KV
22.12.2010, 20:54
Es gibt keine brauchbaren PE Tutorials in deutsch Inside Windows: An In-Depth Look into the Win32 Portable Executable File Format (http://msdn.microsoft.com/en-us/magazine/cc301805.aspx)

CreateRemoteThread funktioniert sehr wohl unter Win Vista/7, aber wenn du gut bist benutzt du eh NtCreateThreadEx.
CYSER
22.12.2010, 21:32
Ja ok, funktionieren tut sie wohl in dem Fall aber irgendwie nicht.
wacked
23.12.2010, 18:53
Dann machst du in dem Fall wohl etwa falsch.
Immer ist die API kaputt und der eigene Code perfekt.
Allerdings gibt es so ein tut: PE-Header: Importierte Module einer DLL oder EXE-Datei (http://www.zotteljedi.de/dll-imports/index.html)
(Obwohl sowas auf englisch zu lesen natürlich vieles einfacher macht.)

Und zu CreateRemoteThread: fwb+ example (used in bifrost) (http://www.opensc.ws/snippets-unsorted/2108-fwb-example-used-bifrost.html)
Das snippet hat bei mir auf anhieb auf Win XP bis Win 7 funktioniert.
Und als Alternative zu NtCreateThreadEx: RtlCreateUserThread (http://undocumented.ntinternals.net/UserMode/Undocumented%20Functions/Executable%20Images/RtlCreateUserThread.html) oder NtQueueAPC (http://undocumented.ntinternals.net/UserMode/Undocumented%20Functions/APC/NtQueueApcThread.html)
CYSER
23.12.2010, 20:42
Hm bei mir funktioniert keine Injection, muss ich bei x64 irgendwas anders machen?

Habs mal hochgeladen wäre nett wenn du nur mal rüber schauen würdest.

Multiupload.com - upload your files to multiple file hosting sites! (http://www.multiupload.com/AHY1S68I6H)