Зависит от антивируса: на одном runpe спалится, на другом loadpe спалится.
Способом который ты описал часто инжектят читы в игры, порой успешно даже во многие не ламерские античиты.
SEH и TLS активно использует малварь по причине, что обе позволяют скрыто выполнять действия. Пользовательский SEH (структурный обработчик исключений) занимает позицию в голове системной цепочки, а потому если умышленно сгенерить исключение в своём коде (например обратиться к памяти нуль AccessViolation = 0xC0000005h), то управление тут-же получит установленный нами обработчик, внутри которого можно сделать что-угодно, после чего передать управление дефолтному обработчику SEH системы, с флагом "Всё Ок".
0: kd> dt _TEB NtTib.
ntdll!_TEB
+0x000 NtTib :
+0x000 ExceptionList : Ptr64 _EXCEPTION_REGISTRATION_RECORD
+0x008 StackBase : Ptr64 Void
+0x010 StackLimit : Ptr64 Void
+0x018 SubSystemTib : Ptr64 Void
+0x020 FiberData : Ptr64 Void
+0x028 ArbitraryUserPointer : Ptr64 Void
+0x030 Self : Ptr64 _NT_TIB0:000> lm
start end module name
00000000`00400000 00000000`00405000 image00000000_00400000 (no symbols)
00000000`77840000 00000000`7795f000 kernel32 (pdb symbols) c:\symbols\kernel32.pdb
00000000`77960000 00000000`77b0a000 ntdll (pdb symbols) c:\symbols\ntdll.pdb
000007fe`fdb70000 000007fe`fdbda000 KERNELBASE (deferred)
000007fe`fedc0000 000007fe`fee5f000 msvcrt (deferred)Есть интересная методика, расширяющая твою идею. В системном каталоге Windows можно найти dll с секциями RWX, для записи в такую память не приходится использовать VirtualAlloc/VirtualProtect и их Nt варианты. Ограничиваемся только размером кодовой секции такой dll. Такие dll есть, но их мало.
format pe64 console
entry start
include 'win64ax.inc'
;//------------------
.data
libName db 'loadperf.dll',0 ;// PerfMon lib
oldFlags dd 0
;//------------------
section '.text' code executable readable
start: sub rsp,8
invoke LoadLibrary,libName
push rax rax rax ;// база в памяти
cinvoke printf,<10,' DLL name....: %s',\
10,' In memory...: 0x%016I64X',0>,libName,rax
pop rax
add rax,3Ch ;// e_lfanew
mov ebx,dword[rax]
pop rax
add rax,rbx ;// РЕ-Header addr
add rax,2Ch ;// BaseOfCode RVA
mov ebx,dword[rax]
pop rax
add rax,rbx ;// RAX = BaseOfCode VA
push rax
cinvoke printf,<10,' Code section: 0x%016I64X',0>,rax
pop rax
invoke VirtualProtect,rax,1000h,PAGE_EXECUTE_READWRITE,oldFlags
or eax,eax
jnz @f
cinvoke printf,<10,10,' ***** Change RWE error! *****',0>
jmp @exit
@@: cinvoke printf,<10,10,' ***** Change RWE OK! ********',0>
@exit: cinvoke _getch
cinvoke exit,0
;//--------------------
section '.idata' import data readable
library msvcrt, 'msvcrt.dll', kernel32, 'kernel32.dll'
include 'api\kernel32.inc'
include 'api\msvcrt.inc'
Конечно противоречит, но периодически такие библиотеки проскакивают. Читал я про это в каком-то вайтхет отчете, долго была в system32 либа с правами rwx, потом пофиксили. Но на стороне можно найти много других библиотек с этим свойством, даже подписанных.
ну не знаю.. по крайней мере проактивка моего аваста молчит.
struct SECTION_TABLE
ObjectName rb 8 ;// имя секции
VirtualSize dd 0 ;// размер в памяти
VirtualOffsetRVA dd 0 ;// ...(адрес в памяти)
RawSize dd 0 ;// размер на диске
RawOffsetRVA dd 0 ;// ...(адрес на диске)
RelocOffsetRVA dd 0 ;//
Reserved dq 0 ;//
Characteristics dd 0 ;// флаги секции
ends |
V
#define IMAGE_SCN_CNT_CODE 0x00000020
#define IMAGE_SCN_CNT_INITIALIZED_DATA 0x00000040
#define IMAGE_SCN_CNT_UNINITIALIZED_DATA 0x00000080
#define IMAGE_SCN_MEM_EXECUTE 0x20000000
#define IMAGE_SCN_MEM_READ 0x40000000
#define IMAGE_SCN_MEM_WRITE 0x80000000
#define IMAGE_SCN_LNK_NRELOC_OVFL 0x01000000
#define IMAGE_SCN_MEM_DISCARDABLE 0x02000000
#define IMAGE_SCN_MEM_NOT_CACHED 0x04000000
#define IMAGE_SCN_MEM_NOT_PAGED 0x08000000
#define IMAGE_SCN_MEM_SHARED 0x10000000format pe64 console
entry start
include 'win64ax.inc'
include 'equates\pe64.inc'
;//------------------
.data
hFile dd 0
findHndl dd 0
peOffset dd 0
seOffset dd 0
secCount dd 0
totalLib dd 0
found dd 0
align 16
wfd WIN32_FIND_DATA
peHeader rb 1024
;//------------------
section '.code' code executable readable
start: sub rsp,8
invoke FindFirstFile,<'*.dll',0>,wfd
mov [findHndl],eax
@findNextLibrary:
or eax,eax
jz @stop
inc [totalLib]
;// Читаем из DLL первые 1К данных
invoke _lopen,wfd.cFileName,OF_READ
cmp eax,-1
jz @nextStep
mov [hFile],eax
invoke _lread,rax,peHeader,1024
invoke _lclose,[hFile]
;// Находим указатель на РЕ-Header
mov edi,peHeader
mov esi,edi
add esi,3Ch
mov esi,[esi]
add edi,esi
mov [peOffset],edi
cmp word[edi],'NE' ;// NE-file?
jz @nextStep
;// ECX = кол-во секций в файле, EDI = SectionTable offset
movzx ecx,[edi + PE_HEADER.NumberOfSection]
add edi,0xF8
;// Проходим по всем секциям DLL, и читаем их атрибуты
@@: push rdi rcx
mov eax,[edi + SECTION_TABLE.Characteristics]
shr eax,28 ;// оставить только старшие 4-бита
cmp eax,0x0E ;// RWE ???
jnz @fuck
inc [found]
cinvoke printf,<10,' Found RWE code. Section name: %s --> %s',0>,edi,wfd.cFileName
@fuck: pop rcx rdi
add rdi,sizeof.SECTION_TABLE ;// переход к сл.секции..
loop @b
;// Все либы в текущем дире..
@nextStep:
invoke FindNextFile,[findHndl],wfd
jmp @findNextLibrary
@stop: invoke FindClose,[findHndl]
cinvoke printf,<10,' ------------------------------',\
10,' Total dll scan: %d ',\
10,' Found counter : %d ',0>,[totalLib],[found]
@exit: cinvoke _getch
cinvoke exit,0
;//--------------------
section '.idata' import data readable
library msvcrt, 'msvcrt.dll',kernel32,'kernel32.dll'
include 'api\kernel32.inc'
include 'api\msvcrt.inc'