Как заинжектить dll на старте процесса?

[XenoFob]

Парни, подскажите, короче хочу я сломать одну простенькую программу, которая чекает серийник жесткого диска. Написал dll, которая хукает вызов GetVolumeInformation и сует ей серийник от другого компа. Проблема в том, что програмуля чекает серийник моментально после запуска. Заинжектить даже самописным инжектором быстрее, чем произойдет чек, не получается. Поэтому возник вопрос: а можно как то инжектить dll на момент старта программы?

 

[gla1ve]

CreateRemoteThread мб

 

[XenoFob]

CreateRemoteThread мб

Эм, если честно, то не догадываюсь, как ее можно применить

 

[voodro1337]

Эм, если честно, то не догадываюсь, как ее можно применить

32 бит прога или нет?

 

[voodro1337]

CreateRemoteThread мб

хуйню высрал ты)

 

[XenoFob]

32 бит прога или нет?

да, 32

 

[voodro1337]

да, 32

у библиотеки хуков детоур есть лоадер,прописываешь там exe файл и dll хука,и он при запуске моментально подгрузит эту длл,либо добавь ее в импорты и все

 

[GoGi1337]

Делаешь софт, который запустит твою прогу и сразу подгрузит длл, не?

 

[voodro1337]

Делаешь софт, который запустит твою прогу и сразу подгрузит длл, не?

нахуя это делать,если уже придумано? У детоур такой лоадер есть

 

[GoGi1337]

нахуя это делать,если уже придумано? У детоур такой лоадер есть

Мы не ищем легких путей. Да и ему в понимание проще будет

 

[XenoFob]

у библиотеки хуков детоур есть лоадер

Бля, я как то пробовал детоур собрать, весь день проебался, а она так и не заработала.

добавь ее в импорты и все

Что для этого юзать? PE редакторы?

Делаешь софт, который запустит твою прогу и сразу подгрузит длл, не?

Это и делал мой кастомный инжектор, не помогло. Оно либо крашило процесс, либо хук инжектился после чека серийника.

 

[GoGi1337]

Это и делал мой кастомный инжектор, не помогло. Оно либо крашило процесс, либо хук инжектился после чека серийника.

Как ты это делал? Я уверен 100% неправильно как то

 

[voodro1337]

Мы не ищем легких путей. Да и ему в понимание проще будет

хорошо,никто не отменял добавление в таблицу импорта

 

[XenoFob]

А как правильно? Я сначала юзал CreateProcess, затем с помощью CreateToolhelp32Snapshot получал id процесса, ну а затем просто инжектил через LL. Только пришлось юзать Sleep перед инжектом, ибо если инжектишь моментально, то атакуемый процесс крашится.

 

[voodro1337]

А как правильно? Я сначала юзал CreateProcess, затем с помощью CreateToolhelp32Snapshot получал id процесса, ну а затем просто инжектил через LL. Только пришлось юзать Sleep перед инжектом, ибо если инжектишь моментально, то атакуемый процесс крашится.

а морозить создаваемый процесс не учили?)

 

[XenoFob]

а морозить создаваемый процесс не учили?)

Научи

 

[voodro1337]

флаг при создании поставь
CREATE_SUSPENDED

 

[XenoFob]

а морозить создаваемый процесс не учили?)

Вопрос еще в том, а когда морозить? Опять же, если заинжектить слишком рано => краш.

 

[voodro1337]

Вопрос еще в том, а когда морозить? Опять же, если заинжектить слишком рано => краш.

объясняю проще. У функции createprocess есть параметр,где ставится флаг ( тебе надо поставить этот флаг
CREATE_SUSPENDED)

 

[XenoFob]

объясняю проще. У функции createprocess есть параметр,где ставится флаг ( тебе надо поставить этот флаг
CREATE_SUSPENDED)

Я прекрасно понял, что нужно сделать, это ты меня не понял. Вопрос в том не закрашит ли это процесс, как это происходит в случае раннего инжекта хука?
Короче ладно, попробую завтра вечером. А что на счет изменение таблицы импорта? Что для этого юзать? Какие нибудь PE эдиторы?