Вобщем так. Есть программа, доступ к ней по логину/пасу.(читает с сервера) Значит сама программа представляет из себя downloader тоесть получаю доступ, жму кнопку, программа(в моём случае) грузит с сервера .dllку и инжектит в процесс. Цель: отловить эту .dllку и сохранить на хард. Вобщем нужен совет что можно и как нужно делать
загружаешь прогу в дебаггер. ставишь бряк на CreateFileW (WriteFile, CloseHandle) -> смотришь куда сохраняется. а дальше делай с ней что хочешь (dll, в смысле) или чтобы отследить процесс загрузки этого всего можно поставить bp на сетевые функции вроде recv, URLDownloadToFileW и InternetReadFile
Тут такая проблемка с дебаггером...прога запакована Themid'ой и olly просто вылетает.. Какой можно использовать в этом случае ? (UnThemida не распаковывает)
Заюзать модификацию ольги, включить плаги, и все будет отлаживаться например http://reversengineering.wordpress.com/2008/09/07/ollydbg-mod-4-execryptor-themida/
А что если никуда не сохраняеться? Ведь нигде не сказанно что она сохраняеться на жёский диск? Можно же из памяти загрузить? Я в этом не очень разбираюсь, так что сорри если ошибся. Сдампить можно например PE Tools используя (процесс свой найдёш, и посмотриш список загдуженных dll'ок), али каким отладчиком, скорей всего ядерным, раз олька не подошла (например WinDbg). А ещё можно используя Process Monitor (http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx) посмотреть куда dll сохраняеться, если, конечно, она всё-таки сохраняеться на диск.
Вобщем не смог я dll.ку найти...названия я её не знаю а в процессе больше 100 их...как можно сравнить процесс до внедрения и после (ручками не прокатывает, даже порядок разный)
используй прогу procmon от sysinternals, там очень удобные фильтры в ней, ну и используй для начала любой http снифер
Большое спасибо, отловил я эту dll.ку сниффером но к сожалению инжектится она не хочет толи при скачивание побилась толи ещё что edit: Проверил, повторно скачал - всё тоже самое "образ не является чемто или чтото там такое" edit2: dll.ки в лоадере и в процессе куда она по идее инжектится не обнаружено
возможно прога качает не полностью либу, а, например, либу без заголовков.. или с заголовками, которые хавает лоадер проги, но не хавает лоадер виндов.
Можно ли чтото сделать в данном случае ? И ещё вопрос на засыпку так сказать ) если я сопру страницу логина вместе с базой и поставлю её на свой хост то можно как нибудь запрос редеректнуть на мой хост ? (с другой стороны если есть база то зачем чтото ещё делать ?)) но есть свои причины)
Ну ладно, я пока не сдался и буду мучить этот файл Попробовал открыть PE Explorer'ом...он выдал: edit: Windbg не берёт Olly с плагинами местами оставляет "???" вместо функций.
This is NOT EXE or DLL File! Processing cancelled. Выше сами и дали ответ на свой вопрос. Файл не является библиотекой, так как напрочь отсутсвуют заголовки PE да и вообще что-либо похожее на код. Это тупо кусок мусора.
После дампа иногда надо реконструировать импорты и экспорты, далеко не все дамперы это делают автоматтом
