Вобщем так.
Есть программа, доступ к ней по логину/пасу.(читает с сервера)
Значит сама программа представляет из себя downloader тоесть получаю доступ, жму кнопку, программа(в моём случае) грузит с сервера .dllку и инжектит в процесс.

Цель: отловить эту .dllку и сохранить на хард.
Вобщем нужен совет что можно и как нужно делать :)

Вобщем так.
Есть программа, доступ к ней по логину/пасу.(читает с сервера)
Значит сама программа представляет из себя downloader тоесть получаю доступ, жму кнопку, программа(в моём случае) грузит с сервера .dllку и инжектит в процесс.

Цель: отловить эту .dllку и сохранить на хард.
Вобщем нужен совет что можно и как нужно делать :)

загружаешь прогу в дебаггер. ставишь бряк на CreateFileW (WriteFile, CloseHandle) -> смотришь куда сохраняется. а дальше делай с ней что хочешь (dll, в смысле)

или чтобы отследить процесс загрузки этого всего можно поставить bp на сетевые функции вроде recv, URLDownloadToFileW и InternetReadFile

Тут такая проблемка с дебаггером...прога запакована Themid'ой и olly просто вылетает..
Какой можно использовать в этом случае ? (UnThemida не распаковывает)

Заюзать модификацию ольги, включить плаги, и все будет отлаживаться

например

http://reversengineering.wordpress.com/2008/09/07/ollydbg-mod-4-execryptor-themida/

Большое спасибо, буду пробовать :)

снифнуть трафик можт легче?

или сдампить с памяти уже заинжек4еную либу

Какой софт нужен для первого и второго варианта ?

загружаешь прогу в дебаггер. ставишь бряк на CreateFileW (WriteFile, CloseHandle) -> смотришь куда сохраняется. а дальше делай с ней что хочешь (dll, в смысле)
А что если никуда не сохраняеться? Ведь нигде не сказанно что она сохраняеться на жёский диск? Можно же из памяти загрузить?
грузит с сервера .dllку и инжектит в процесс.
Я в этом не очень разбираюсь, так что сорри если ошибся.

Сдампить можно например PE Tools используя (процесс свой найдёш, и посмотриш список загдуженных dll'ок), али каким отладчиком, скорей всего ядерным, раз олька не подошла (например WinDbg).

А ещё можно используя Process Monitor (http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx) посмотреть куда dll сохраняеться, если, конечно, она всё-таки сохраняеться на диск.

Вобщем не смог я dll.ку найти...названия я её не знаю а в процессе больше 100 их...как можно сравнить процесс до внедрения и после (ручками не прокатывает, даже порядок разный)

используй прогу procmon от sysinternals, там очень удобные фильтры в ней,
ну и используй для начала любой http снифер

Большое спасибо, отловил я эту dll.ку сниффером но к сожалению инжектится она не хочет :( толи при скачивание побилась толи ещё что :(

edit:
Проверил, повторно скачал - всё тоже самое "образ не является чемто или чтото там такое"

edit2:
dll.ки в лоадере и в процессе куда она по идее инжектится не обнаружено :(

возможно прога качает не полностью либу, а, например, либу без заголовков.. или с заголовками, которые хавает лоадер проги, но не хавает лоадер виндов.

Можно ли чтото сделать в данном случае ?
И ещё вопрос на засыпку так сказать ) если я сопру страницу логина вместе с базой и поставлю её на свой хост то можно как нибудь запрос редеректнуть на мой хост ? (с другой стороны если есть база то зачем чтото ещё делать ?)) но есть свои причины)

если есть бинарь, который шлет запрос и скрипты, которые отдают - то можно

Ну ладно, я пока не сдался и буду мучить этот файл :)
Попробовал открыть PE Explorer'ом...он выдал:


02.11.2008 21:15:04 : Error: This is NOT EXE or DLL File! Processing cancelled.
02.11.2008 21:15:04 : Error! (Step: Examining File Headers)


edit:
Windbg не берёт
Olly с плагинами местами оставляет "???" вместо функций.

Выложи dll и тогда точно можно будет сказать, тут телепатов нет

_http://ifolder.ru/8906412
Вот она

_http://ifolder.ru/8906412
Вот она
This is NOT EXE or DLL File! Processing cancelled.
Выше сами и дали ответ на свой вопрос. Файл не является библиотекой, так как напрочь отсутсвуют заголовки PE да и вообще что-либо похожее на код. Это тупо кусок мусора.

Проверил, повторно скачал - всё тоже самое "образ не является чемто или чтото там такое"
После дампа иногда надо реконструировать импорты и экспорты,
далеко не все дамперы это делают автоматтом

После дампа иногда надо реконструировать импорты и экспорты,
далеко не все дамперы это делают автоматтом
Мысль верная, но применительна она только к дампам, а не к непонятно чему. Как писал выше, представленный файл не относится к win32 PE библиотеке никаким боком, это просто кусок мусора

Ну я не знаю мусор это или нет но это работает.
Сам дистрибутив слишком мал по весу чтобы нести в себе всё что в нём есть.
Но с другой стороны слишком велик для своей функциональности.

Ну я не знаю мусор это или нет но это работает.
Позволю себе последнюю тираду в ваш адрес. Вы похожи на человека, который очертил вокруг себя круг мелом и не может выйти за его пределы, да и не хочет, вот что странно. Так же и тут - говорю же, файл который выложили - мусор. А что там "работает" у вас, известно, по всей видимости только вам одному.

>> эту dll.ку сниффером но к сожалению инжектится она не хочет толи при скачивание побилась толи ещё что

возможно качается зашифрованный файл, который впоследствии программой расшифровывается и непосредственно инжектится.

>> После дампа иногда надо реконструировать импорты и экспорты,
далеко не все дамперы это делают автоматтом

тут не дамп (>> эту dll.ку сниффером)


>>Проверил, повторно скачал - всё тоже самое "образ не является чемто или чтото там такое"

>> Ну я не знаю мусор это или нет но это работает.

вы определитесь, работает у вас или не работает


>> dll.ки в лоадере и в процессе куда она по идее инжектится не обнаружено

и вообще с чего вы взяли, что там вообще либа инжектиться. мб там инжектиться процедура, а не целая либа.



никакой конкретики не видно в теме, если так и дальше будет - закрою. то, что вы выложили - это непонятно что (что это может быть я написала выше). сами же писали, что файл не рабочий. через пост уже пишите, что оно работает.

Ладно всё мусор так мусор.
Тему можно закрывать.
А я пойду советоваться с теми у кого мусор работает.