Ergebnis 1 bis 1 von 1
  1. #1
    is a Grammar Nazi Avatar von Hamtaro
    Registriert seit
    05.06.2007
    Beiträge
    431

    Standard RunPE ohne Injection

    Was viele ja gar nicht wissen, man muss nicht unbedingt eine PE Executable in einen neuen Prozess laden (Process hollowing), das geht auch im selben Prozess und sogar im selben Thread.

    Natürlich nur, wenn an der gewollten Imagebase Platz ist.
    Weil nämlich entweder die Host-Exe eine dynamische Imagebase hat, also eine Relocation section und ASLR aktiviert oder weil dies auf die zu ladende Executable zutrifft, sie also auch an irgendeinen anderen Ort geladen werden kann.

    Früher war das nur selten der Fall, aber unter 64bit ist es Standard und auch für 32bit werden immer mehr Exen mit Relocations gebuildet.

    Hier also nur mal ein kleines (nur 32bit getestetes) Beispiel, wie man eine Exe ohne Injection aus dem Memory starten kann.

    Der Vorteil ist dass es generell unauffälliger ist und ohne verdächtige APIs auskommt. Der Nachteil ist natürlich dass man bspw. keine Firewalls bypassen kann durch Injection in "erlaubte" Prozesse.

    Natürlich ist das ganze noch lange nicht fertig. Beispielsweise ließen sich die gelegentlichen Crashes wenn trotz ASLR die Host-Exe den Platz einer nicht-ASLR-fähigen Exe belegt umgehen, indem man einfach solange den Prozess neustartet bis der Platz frei wird.


    Zur Feier des F-H Gits genau dort erhältlich, für jeden frei zu kopieren und verbessern: https://git.free-hack.com/hamham/pe_loader

    Credits an ZwClose7, von dem ich fast den gesamten PE loading code geklaut habe
    Sunshine, hurricane
    All the highs & lows

  2. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    Leange (15.02.2017), sarex (16.02.2017), zzurc (15.02.2017)

Ähnliche Themen

  1. RunPE[autoIt]
    Von Mofo im Forum Sonstige Programmiersprachen
    Antworten: 0
    Letzter Beitrag: 26.10.2011, 16:03
  2. [VB.NET Source] - RunPE
    Von Sawyer im Forum Trashbox
    Antworten: 0
    Letzter Beitrag: 18.09.2009, 14:38
  3. VB.NET - RunPE
    Von Sawyer im Forum .NET Sprachen - Techniken
    Antworten: 12
    Letzter Beitrag: 22.02.2009, 19:50
  4. Runtime ohne RUNPE oder sonstigen kram siehe hier
    Von The-Wall im Forum .NET Sprachen - Techniken
    Antworten: 27
    Letzter Beitrag: 25.01.2009, 14:39

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •