Сейчас на форуме: zombi-vadim, zds (+4 невидимых)

 [email protected] —› Программирование —› Запуск ollydbg в нитке хакнутого процесса
Посл.ответ Сообщение

Ранг: 1.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 18 ноября 2013 15:07
· Личное сообщение · #1

Добрый день. Есть процесс Х (пусть для примера это будет notepad). В него инжектится длл, в которой начинает исполняться код. Возможно ли из этой длл запустить отладчик в нитке ОСНОВНОГО приложения? (т.е. чтобы по сути processId был одинаковый и для основного окошка блокнота, и окна отладчика, как будто он вторая форма)



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 18 ноября 2013 15:10
· Личное сообщение · #2

Если очень захотеть, то можно, а т.к. это попахивает вируснёй, то наврядли кто-то скажет как .



Ранг: 1.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 18 ноября 2013 15:12
· Личное сообщение · #3

Причем тут вирусня ?) Попахивает тем, что я обучаюсь на приложении, накрытом драйвером, который в кернеле хукает десяток АПИ, и в итоге доступ к памяти и процессу есть только изнутри процесса.
Можно обойти написанием своего драйвера, который перехукает эти АПИ, либо полностью отключить защиту (сделано). Но хочется именно вариант, озвученный в посте №1 освоить.




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 18 ноября 2013 15:38
· Личное сообщение · #4

Дефолтный отладчик на дебаг апи сам себя отлаживать не будет, если что. Так что пиши свой отладчик на инжекте.

| Сообщение посчитали полезным: OutCoder

Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

Создано: 18 ноября 2013 16:04 · Поправил: Veliant
· Личное сообщение · #5

Грузишь в этот же процесс свою dll любым удобным способом. По DllMain можно ловить создание/завершение потоков/процесса. По установленному VEH обработчику все остальные события. Ну и собственно либо обрабатывай исключения из dll, либо связывай пайпом или еще как с внешним front-end'ом с помощью которого сможешь управлять отладкой.
У самого была когда-то такая идея, потом забил.




Ранг: 72.3 (постоянный), 133thx
Активность: 0.380
Статус: Участник

Создано: 18 ноября 2013 23:48
· Личное сообщение · #6

OutCoder

CreateProcess(), в аргументах PID. Или вызвать UEF.

> (т.е. чтобы по сути processId был одинаковый и для основного окошка блокнота, и окна отладчика, как будто он вторая форма)

Не понимаю. Сам к себе отладчик нельзя подключать. Да и вообще зачем это надо ?

> в кернеле хукает десяток АПИ, и в итоге доступ к памяти и процессу есть только изнутри процесса.

Ну так решение очевидно - випиливаете его патчи. Одна кнопка в рку


 [email protected] —› Программирование —› Запуск ollydbg в нитке хакнутого процесса
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати