Deutsch
Stammtisch & Café

DLL Injektion für jedermann???

 
Hallo alle zusammen...

Innerhalb von Windows sind einige Zaubereien möglich, die normalerweise gar nicht funktionieren sollten. Eine davon ist die DLL Einschleusung in fremde Prozesse. Ich denke, das ich eine weitere Möglichkeit der DLL-Injektion auch mit Profan hinbekomme. Sollte man das hier posten???
 
30.08.2006  
 




Michael
Wodrich
Und wer ist dann schneller:
- die Bösen, die das mißbrauchen?
- oder die Guten, die einen Flicken draufsetzen....
 
Programmieren, das spannendste Detektivspiel der Welt.
30.08.2006  
 



Es gibt bereits Quelltexte zu diesem Thema für MASM. Möglich wird es weiterhin und immer sein - aber nur für Administratoren, denn das ist durch Rechtevergabe sehr leicht einzuschränken. Wichtig ist das deshalb eher nicht für Leute, die Viren schreiben wollen, sonder vielleicht für Leute, die Programme entwickeln. Vielleicht sollten die wissen, was alles möglich ist und wie einfach das ist ...
 
30.08.2006  
 



Mmmh...,
die Gefahren, die ein solcher Quelltext bergen könnte sind doch zu groß, um ihn hier einfach zu posten. Wenn meine Idee wirklich funktioniert, könnte jeder Schwachkopf durch einen Trojaner Daten an einer Firerwall vorbeischleusen, da ja fast jeder als Admin im Internet surft. Also weiterhin keine Quelltexte dazu von mir - aber (wenn ich die Sache zum Laufen bekomme ), ein Programm. Also ein Programm, mit dem man eigene DLLs als Administrator in fremde Prozesse laden kann - setze mich nach meiner Nachtwache dran. Die Möglichkeiten, die so etwas bietet, sind einfach zu groß um davon die Finger zu lassen.
 
31.08.2006  
 



Scheint zu gehen, die Sache - wenn es keine Einwände dazu gibt, wird es sehr bald wohl in einem meiner Freewareprogramme eine Möglichkeit geben, unter NT-basierenden Systemen (2000/XP) eigene DLLs in fremde Prozesse einzuschleusen.

Was bedeutet das unter anderem:
- Über diese DLLs könnten von außen APIs ausgeführt werden, die eigentlich nur innerhalb des Prozesses funktionieren.
- Die Möglichkeiten, Vorgänge in andren Prozessen (Betriebssystemprozessen) zu überwachen, könnten fast grenzenlos sein.

Interesse an so einem Programm? Birgt so etwas eher Gefahren, bringt es neue Möglichkeiten oder wäre das nur kalter Kaffee, weil das sowieso schon jeder kann?
 
31.08.2006  
 



Nein - kein kalter Kaffee aber dennoch wird das ganze glaub ich überbewertet.

Was glaubst Du wo soll der Mißbrauch sein?

Ich wüsste auf Anhieb keine gefährliche Injection deren Aufgabe als solche nicht auch einfacher/anders möglich wäre.

Aber vielleicht bin ich auch nur stumpf?
 
31.08.2006  
 



[quote:e8a6387a3c=iF]Nein - kein kalter Kaffee aber dennoch wird das ganze glaub ich überbewertet.

Was glaubst Du wo soll der Mißbrauch sein?

Ich wüsste auf Anhieb keine gefährliche Injection deren Aufgabe als solche nicht auch einfacher/anders möglich wäre.

Aber vielleicht bin ich auch nur stumpf?[/quote:e8a6387a3c]
Mmh... - als Quelltext sehe ich da schon eine Gefahr. ´Weil es so einfach ist, könnte jeder Hirni in seine Profanprogramme Quelltext einbauen, die sich z.B. in den Internet Explorer einschleusen und damit evtl. gefährliche Dinge an einer Firerwall vorbeischummeln.

In einem Programm eingebaut sehe ich da nicht ganz so viel Probleme - eher mehr Möglichkeiten. Es gibt da einiges an APIs, die nur innerhalb eines Prozesses ausgeführt werden können. Außerdem könnte innerhalb eines (System-) Prozesse wesentlich mehr möglich sein, als außerhalb dieses Prozesses (wenn z.B. die ID überprüft wird). Evtl. könnte man dann aber auch nicht mehr sehr viel geheimhalten...
 
31.08.2006  
 



PS: Das man Gefahren gewaltig unterschätzen kann, hat mir die Shatter Attack gezeigt. Selbst der Autor dieser Attacke hat scheinbar gar nicht gewußt, was da im Endeffekt wirklich alles möglich ist. Ich möchte nicht gerne irgendetwas tun, was ich nachher gewaltig bereue - Möglichkeiten sausen lasse dazuzulernen will ich aber auch nicht...
 
31.08.2006  
 



Hm - naja wollen wir mal nicht Gott spielen ich denke nicht das es unsere Aufgabe sein kann zu entscheiden ob die Möglichkeiten fatal oder toll sind - sowas kann nur die Geschichte zeigen.
 
31.08.2006  
 



Eigentlich ist es garnicht so schwer entsprechende Codes zu finden
[quote:bf982ed307]if a process calls the api-Procedure (for example MessageBoxEx@16,
the first 5 Bytes in the Api-Procedure are Codes to save some registers.
You can test severals Apis, and you get the same results

The trick to redirect is now to replace those 5 Bytes with a JMP- condition.
Regular, all JMP-Condition with FAR-Pointers have 6 Bytes.
Only the relative JMP-Condition has 5 Bytes.
The First Opcode for this relative JMP is then the magic $E9.
(see INTEL-x86 Books or just google for E9 and JMP
the $C3 is only for saveness, its a Exception-Call. so if any error occurs,
your own exceptionhandler (maybe OnError) will be called.[/quote:bf982ed307]
Erforderliche API:
ReadProcessMemory
WriteProcessMemory

Die erforderlichen Infos sind jetzt da, bzw. damit kann man bisher nur sein eigenes Programm hooken, was nicht wirklich sinnvoll ist.. Ob Andreas seine Routine darauf aufbaut weiß ich natürlich nicht
 
31.08.2006  
 



Geht noch wesentlich einfacher...
 
31.08.2006  
 



Du sprachst ja auch von DLL-Injection, da wird es ausgenützt, das auf jeden Fall Aufrufe für Kernel32 enthalten sind. Vermute ich mal
 
31.08.2006  
 




Antworten


Thementitel, max. 100 Zeichen.
 

Systemprofile:

Kein Systemprofil angelegt. [anlegen]

XProfan:

 Beitrag  Schrift  Smilies  ▼ 

Bitte anmelden um einen Beitrag zu verfassen.
 

Themenoptionen

7.672 Betrachtungen

Unbenanntvor 0 min.
Andreas Miethe21.01.2013
Manfred Barei11.01.2013
Michael Borowiak22.12.2012
E.T.17.01.2012
Mehr...

Themeninformationen



Admins  |  AGB  |  Anwendungen  |  Autoren  |  Chat  |  Datenschutz  |  Download  |  Eingangshalle  |  Hilfe  |  Händlerportal  |  Impressum  |  Mart  |  Schnittstellen  |  SDK  |  Services  |  Spiele  |  Suche  |  Support

Ein Projekt aller XProfaner, die es gibt!


Mein XProfan
Private Nachrichten
Eigenes Ablageforum
Themen-Merkliste
Eigene Beiträge
Eigene Themen
Zwischenablage
Abmelden
 Deutsch English Français Español Italia
Übersetzungen

Datenschutz


Wir verwenden Cookies nur als Session-Cookies wegen der technischen Notwendigkeit und bei uns gibt es keine Cookies von Drittanbietern.

Wenn du hier auf unsere Webseite klickst oder navigierst, stimmst du unserer Erfassung von Informationen in unseren Cookies auf XProfan.Net zu.

Weitere Informationen zu unseren Cookies und dazu, wie du die Kontrolle darüber behältst, findest du in unserer nachfolgenden Datenschutzerklärung.


einverstandenDatenschutzerklärung
Ich möchte keinen Cookie