|
-
УЖЕ ЗАВТРА! Просто зашёл, нажал на кнопку участия и забрал кучу призов уже 30-го декабря: https://yougame.biz/threads/366947/
Объясните принцип работы лоадера.
- Автор темы 1ws3echt4
- Дата начала
- Статус
- Оффлайн
- Регистрация
- 19 Мар 2017
- Сообщения
- 214
- Реакции
- 274
Использование VirtualAllocEx позволяет выделить место в выбранном процессе и при успешном выполнении возвращает начальный адрес выделенной памяти.
Как только память была инициализирована, путь к DLL может быть записан в выделенную память, возвращенную VirtualAllocEx с помощью WriteProcessMemory
Адрес LoadLibrary и путь к DLL являются двумя основными элементами, необходимыми для загрузки библиотеки. Используя функцию CreateRemoteThread, LoadLibrary выполняется в контексте целевого процесса с указанием пути DLL в качестве параметра.
Код:
+--------------------+
| |
VirtualAllocEx +--------------------+
Выделяет место -----> | Empty space |
+--------------------+
| |
+--------------------+
| Executable |
| Image |
+--------------------+
| |
| |
+--------------------+
| kernel32.dll |
+--------------------+
| |
+--------------------+Как только память была инициализирована, путь к DLL может быть записан в выделенную память, возвращенную VirtualAllocEx с помощью WriteProcessMemory
Код:
+--------------------+
| |
WriteProcessMemory +--------------------+
Инжектит путь до длл ----> | "..\..\myDll.dll" |
+--------------------+
| |
+--------------------+
| Executable |
| Image |
+--------------------+
| |
| |
+--------------------+
| kernel32.dll |
+--------------------+
| |
+--------------------+Адрес LoadLibrary и путь к DLL являются двумя основными элементами, необходимыми для загрузки библиотеки. Используя функцию CreateRemoteThread, LoadLibrary выполняется в контексте целевого процесса с указанием пути DLL в качестве параметра.
Код:
+--------------------+
| |
+--------------------+
+--------- | "..\..\myDll.dll" |
| +--------------------+
| | |
| +--------------------+ <---+
| | myDll.dll | |
| +--------------------+ |
| | | | LoadLibrary
| +--------------------+ | загружает
| | Executable | | и
| | Image | | инициализирует
| +--------------------+ | myDll.dll
| | | |
| | | |
CreateRemoteThread v +--------------------+ |
LoadLibraryA("..\..\myDll.dll") --> | kernel32.dll | ----+
+--------------------+
| |
+--------------------+
