Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

C++ RunPe im selben Prozess

- - - - -

  • Bitte melde dich an um zu Antworten
Eine Antwort in diesem Thema

#1
o0o

o0o

    Script Kiddie

  • Members
  • PIPPIPPIPPIP
  • Likes
    27
  • 33 Beiträge
  • 15 Bedankt

Was viele ja gar nicht wissen, man muss nicht unbedingt eine PE Executable in einen neuen Prozess laden (Process hollowing), das geht auch im selben Prozess und sogar im selben Thread.

Natürlich nur, wenn an der gewollten Imagebase Platz ist.
Weil nämlich entweder die Host-Exe eine dynamische Imagebase hat, also eine Relocation section und ASLR aktiviert oder weil dies auf die zu ladende Executable zutrifft, sie also auch an irgendeinen anderen Ort geladen werden kann.

Früher war das nur selten der Fall, aber unter 64bit ist es Standard und auch für 32bit werden immer mehr Exen mit Relocations gebuildet.

Hier also nur mal ein kleines (nur 32bit getestetes) Beispiel, wie man eine Exe ohne Injection aus dem Memory starten kann.

Der Vorteil ist dass es generell unauffälliger ist und ohne verdächtige APIs auskommt. Der Nachteil ist natürlich dass man bspw. keine Firewalls bypassen kann durch Injection in "erlaubte" Prozesse.

Natürlich ist das ganze noch lange nicht fertig. Beispielsweise ließen sich die gelegentlichen Crashes wenn trotz ASLR die Host-Exe den Platz einer nicht-ASLR-fähigen Exe belegt umgehen, indem man einfach solange den Prozess neustartet bis der Platz frei wird.


Zur Feier des F-H Gits genau dort erhältlich, für jeden frei zu kopieren und verbessern:

Please Login HERE or Register HERE to see this link!



Credits an ZwClose7, von dem ich fast den gesamten PE loading code geklaut habe


<3 is all you need


Thanked by 2 Members:
python_snippet , gr33d

#2
rat123

rat123

    Member

  • Premium Member
  • Likes
    97
  • 107 Beiträge
  • 31 Bedankt
  • verifiziert

Schaue ich mir später an, gibt bestimmt einige Kritikpunkte  :lol:


Eingefügtes Bild




  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


This topic has been visited by 48 user(s)


    13asim37, Bloodman, bones, c3rberus, Caruso, cubik, dd34t0r, DeepWater, dos, easysurfer, EviLByteS, flo3477, fluffybunny, Fr0nz, Framerater, Franziskaner, Freshpolak, gr33d, hacked, hitman56, JohnR, juPP, kakao1, keyb0ardz, kiwitone, Lemontree, loken, lolorollo, Mini Rick, Mr_NiceGuy, n1nja, nibble nibble, o0o, PadX18, Psykoon303, python_snippet, Rastajan, rat123, Smn, terratec1991, VerZus, vitovice, waswillstdu, webpanel0815, xxas, yq8, Zorrez, zrty
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.