Zanima me kako vidjeti koji je dll u exe programu. Samo je jedan Exe i u njemu je DLL, u ovom slučaju recimo hack. Kako vidjeti koji je to dll i kako ga izolirati, tj. da dobim dll hack
Zanima me kako vidjeti koji je dll u exe programu. Samo je jedan Exe i u njemu je DLL, u ovom slučaju recimo hack. Kako vidjeti koji je to dll i kako ga izolirati, tj. da dobim dll hack
Itko?d
Nema dll-a u .exe fileovima. Vrati se osnovama i pročitaj što je to dll. A može i .exe file format.
Nema dll-a u .exe fileovima. Vrati se osnovama i pročitaj što je to dll. A može i .exe file format.
Ali kako je onda radi hack loader? Dobi se samo .exe i onda treba odabrati koji hack i ovaj ga ucita, tj. injecta
Može biti u exe, pa ga ekstrakta u temp i injecta,
ili kopira bajtove u drugi process i manualno ga loada (tzv.manual mapping - ima tu primjer).
Nebi trebalo bit teško ga izvuć, ali ko zna možda ima dobre antidebug zaštite itd.
Najbolje da daš link od toga...
Može biti u exe, pa ga ekstrakta u temp i injecta,
ili kopira bajtove u drugi process i manualno ga loada (tzv.manual mapping - ima tu primjer).
Nebi trebalo bit teško ga izvuć, ali ko zna možda ima dobre antidebug zaštite itd.
Najbolje da daš link od toga...
http://www.megaupload.com/?d=KZ04T76I Evo link, datoteka je velika 5.85MB pa predpostavljam da ima vise od 2-3 slicice i texta. Za login information ti na P.M. pošaljem.
http://enter.bug.hr/ucionica/exe_-_sto_to_znaci_95132/
Pogledaj, pa nećeš lupati takve gluposti.
Exe file ti ne može sadržavati dll-ove, ali process koji stvori exe, u svoj memoriski prostor učitava dll-ove. Svaki debugger ti može pokazati što je loadano u process. npr u windbg-u to ti se radi lm naredbom npr.
Executable search path is:
ModLoad: 00130000 00138000 03Breakpoint.exe
ModLoad: 77060000 7719c000 ntdll.dll
ModLoad: 70f90000 70fda000 C:\Windows\SYSTEM32\MSCOREE.DLL
ModLoad: 76dc0000 76e94000 C:\Windows\system32\KERNEL32.dll
ModLoad: 75470000 754ba000 C:\Windows\system32\KERNELBASE.dll
(abc.7d4): Break instruction exception - code 80000003 (first chance)
eax=00000000 ebx=00000000 ecx=002cf8e0 edx=770a7094 esi=fffffffe edi=00000000
eip=7710054e esp=002cf8fc ebp=002cf928 iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246
*** ERROR: Symbol file could not be found. Defaulted to export symbols for ntdll.dll -
ntdll!LdrVerifyImageMatchesChecksum+0x633:
7710054e cc int 3
0:000> lm
start end module name
00130000 00138000 03Breakpoint (deferred)
70f90000 70fda000 MSCOREE (deferred)
75470000 754ba000 KERNELBASE (deferred)
76dc0000 76e94000 KERNEL32 (deferred)
77060000 7719c000 ntdll (export symbols) C:\Windows\SYSTEM32\ntdll.dll
boldano je ime modula početak adresnog prostora i njegova duljina.
U Visual Studiu, to je mislim Debug->Windows->Modules
u Ollydbg-u View->Executable modules
Postoji program koj se zove DependencyWalker
http://www.dependencywalker.com/ koji prikazuje kako su exe i dllovi povezani
i za kraj postoji nešto što se zove static i dinamic linkanje
http://simplesamples.info/Beginners/StaticVersusDynamic.php
btw. .net ima neka svoja pravia koja ovdje nisam opisao.
