Bonjour, 

Avant toutes choses je connais très peu de choses à ce sujet, mais dans mon projet je suis mené a accrocher un dll à un .exe

J'ai donc chercher "How to hook dll to exe", j'utilise OllyDbg :

J'edit et je met mon dll : 123123.dll

Même chose pour : EntryPoint

Je remonte je Fill with NOP'S

Double clique : push 779CB650

J'ai au préalable sauvegarder mes addresses : 779CB650   123123.dll /// 779CB65C   EntryPoint

CTRL + N -> LOADLIBRARYA introuvable

Sur les autres tuto pour hook un dll il est "trouvable".

Je ne sais pas comment faire, y a-t-il une autre solution ou autres méthodes ??

Merci d'avance,

Salut,

Déjà, quelle idée d'éditer ta dll!!!  Elle est sensée fonctionner "telle quelle", et tu peux même être poursuivi (pour tentative de fraude / piratage) lorsque tu t'amuses à cela

enfin, l'instruction NOP en assembleur, c'est une instruction "No OPeration", autrement dit: une instruction qui ne fait rien.  Qui sera ignorée par le processeur, qui ira donc directement à l'instruction suivante.

Si tu commence à "NOPer" tout et n'importe quoi dans ta dll, faut pas t'étonner si, à un moment donné, le système cesse de fonctionner

> j'ai suivit l'un des tuto donc les NOPS y sont inclus ne me demande pas pourquoi

Urls des tutoriels SVP.

Il y a plein de valeurs "magiques" qui se baladent dans vos copies d'écran, et on sait pas d'où elles sortent.

Très vraisemblablement de valeurs trouvées "expérimentalement" sur des OS d'il y a plus de 15ans (adresses encore en 32bits) et qui ne veulent plus rien dire.

Ils datent de quand vos tutoriels ? Ils donnent pas les conditions pour que leur tambouille fonctionne ?

Pour Hooker avec une Dll, vous n'avez pas besoin de modifier la mémoire d'un processus et encore moins le contenu de la mémoire mappée sur la projection de ntdll.dll dans le processus.

Pour faire un hook :

https://msdn.microsoft.com/en-us/library/windows/desktop/ms632589(v=vs.85).aspx

> j'ai besoin de l'accrocher à mon exe.

C'est quoi pour vous "accrocher" un exe ???

Si c'est pour se faire charger votre dll à la place d'une autre, il suffit de mettre votre dll avec le même nom que la "légitime" dans un répertoire qui est scanné avant celui contenant la "légitime".

Utilisez un outil comme ProcessMonitor ( https://technet.microsoft.com/fr-fr/sysinternals/processmonitor.aspx ) pour voir l'ordre de recherche des dll dans votre machine (c'est fonction de la machine, donc variable, donc fragile mais moins ces ignobles bidouilles en mémoire).

>Urls des tutoriels SVP.

https://www.youtube.com/watch?v=FbQcdP4NdlQ

https://www.youtube.com/watch?v=BSoNMibNjI8

>des OS d'il y a plus de 15ans

J'utilise Win Server 2016 EN sur mon VPS

>C'est quoi pour vous "accrocher" un exe ???

Pour faire simple, j'ai un fichier CŒUR sur lequel divers dll ont y été "accrocher" comme une extension de ce fichier cœur a travers divers DLL qui ont pour but de rendre se fichier CŒUR stable sans bug (des mini correctif quoi) sauf qu'ils ont été accrocher par d'autre gens au auparavant^^

Rouge = déjà "accrochés"

Bleu = un dll assembler sur mon une BDD de mon SQL pour la fonction : Call PSMagent Commands via sql

Vert = celui que je veux "accrocher"

Ok, c'est donc juste "marquer" un module binaire comme un putois marque son territoire en déféquant dans tous les coins.

Super constructif ce machin.

Un binaire, ça se fourre pas comme une dinde.

Bon, je vais vous laissez faire vos enfantillage (qui ne fonctionneront sur les OS de plus de 15 ans ou configurer avec les pieds).

Sauf erreur de ma part, si j'ai bien vue les vidéo, le Ctrl+N, c'est juste pour avoir l'IAT du module courant.

Or, le module courant, c'est vraisemblablement l'exécutable, et il n'est pas obligé d'utiliser "LoadLibraryA".

Il devrait même jamais le faire depuis au moins Win2000 et le fait que toutes les primitives ASCII de Win32 sont des wrapping de rétro-compatibilité sur les versions UNICODE.

Les vidéos n'utilisent pas ce raccourci mais l'entré de menu qui est juste en-dessous pour faire une synthèse de tout les IATs de tout les modules (exe + dll chargées).

Du coup, la probabilité qu'au moins un des modules soit assez moisi pour utiliser cette API vieille probablement comme Win1 est bien plus forte.

N'hésitez pas a nous demander comment on fait les choses sérieusement, quand vous aurez fini vos enfantillages.

P.S.: cela n'a rien à voir avec l'utilisation de hook, qui eux, peuvent avoir une vraie utilité.