Využij akce až 30 % zdarma při nákupu e-learningu. Více informací. Zároveň je tento týden sleva až 80 % na e-learning týkající se C# .NET
Hledáme nového kolegu do redakce - 100% home office, 100% flexibilní pracovní doba. Více informací.
Avatar
Jiří Šuster:25.1.2019 15:09

Dobrý den, mám exe soubor, který po spuštění čeká na spuštění programu. Až se program spustí, tak se do toho programu něco injectne. Myslím , že to funguje jako normální dll injector. Já ale potřebuji vědět co se tam injectuje. Tedy spíš vzít to co se injectuje a mít možnost to injectnout aji bez toho exe souboru. Jen se chci zeptat, jestli by šlo spustit nějaký program, který by kontroloval co se do něj injectuje a dokáže to nějakým způsobem zobrazit?

 
Odpovědět
25.1.2019 15:09
Tento výukový obsah pomáhají rozvíjet následující firmy, které dost možná hledají právě tebe!
Avatar
Martin Dráb
Redaktor
Avatar
Odpovídá na Jiří Šuster
Martin Dráb:25.1.2019 20:41

Záleží, jakým způsobem ke vkládání cizích věcí do programu dochází. Pokud se jedná o to, že nějaký jiný program jej přiměje načíst DLL knihovnu (např. tím, že v něm vytvoří vlákno, která zavolá funkci LoadLibrary), mohla by pomoci funkce LdrRegisterDllNo­tification.
https://docs.microsoft.com/…notification

Zaregistruje ti callback, který se pak volá v případě, že je nějaká DLL knihovna načtena do či uvolněna z adresového prostoru procesu. Alternativně lze hooknout např. funkci LdrLoadDll v knihovně ntdll.dll (modifikovat ji tak, aby při jejím volání došlo zároveň k volání tvého kódu).

Existují ale způsoby injekce, které tímto způsobem detekovat nelze. Například pokud si injektující program provede veškeré načítání DLL knihovny ručně (tzn. nevyužije k tomu Windows Loader).

Nahoru Odpovědět
25.1.2019 20:41
2 + 2 = 5 for extremely large values of 2
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.