Dll Injection aus einer Ressource oder eigener Exe

**Zacherl**

So, ich mach lieber mal hier dazu einen Thread auf. Also ich injiziere meine Dll mit folgender Funktion in meinen Zielprozess:

zusammenfalten · markieren

Delphi-Quellcode:

			function InjectLibrary(Process: LongWord; ModulePath: PChar): Boolean;

var

  Parameters: Pointer;

  Thread, TID: dword;

  BytesWritten: dword;

  pCreateRemoteThread: function(hProcess: THandle; lpThreadAttributes: Pointer; dwStackSize: DWORD; lpStartAddress: TFNThreadStartRoutine; lpParameter: Pointer; dwCreationFlags: DWORD; var lpThreadId: DWORD): THandle; stdcall;

  pVirtualAllocEx: function(hProcess: THandle; lpAddress: Pointer; dwSize, flAllocationType: DWORD; flProtect: DWORD): Pointer; stdcall;

  pWriteProcessMemory: function(hProcess: THandle; const lpBaseAddress: Pointer; lpBuffer: Pointer; nSize: DWORD; var lpNumberOfBytesWritten: DWORD): BOOL; stdcall;

begin

  Result := False;

  pCreateRemoteThread := GetRealProcAddress(GetModuleHandle('kernel32'), 'CreateRemoteThread');

  pVirtualAllocEx := GetRealProcAddress(GetModuleHandle('kernel32'), 'VirtualAllocEx');

  pWriteProcessMemory := GetRealProcAddress(GetModuleHandle('kernel32'), 'WriteProcessMemory');

  Parameters := pVirtualAllocEx(Process, nil, Length(ModulePath) + 1, MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);

  pWriteProcessMemory(Process, Parameters, ModulePath, Length(ModulePath) + 1, BytesWritten);

  Thread := pCreateRemoteThread(Process, nil, 0, GetProcAddress(GetModuleHandle('kernel32'), 'LoadLibraryA'), Parameters, 0, TID);

  if Thread = 0 then Exit;

  CloseHandle(Thread);

  Result := True;

end;

Das GetRealProcAddress ist aus der madDisAsm und umgeht nur mögliche Hooks der Funktionen.

Jetzt meine Frage:

Ich habe die Dll als RCDATA Ressource in meine Exe integriert und möchte nun, dass die Dll vom anderen Prozess direkt aus der Ressource geladen wird.
Oder noch besser wäre es, wenn ich die eigene Exe injizieren könnte und aus dieser aber nicht DllMain, sondern eine von mir exportierte Funktion aufrufen könnte.

Ich hoffe das war jetzt nicht zu kompliziert.
Florian

**brechi**

schau dir mal

http://uall.overclock.ch/uallCollection/ und dort InjectMe

**Zacherl**

Sieht EIGENTLICH ganz gut aus. Es wird zwar auch ziemlich erfolgreich die eigene Funktion aus der EXE aufgerufen, allerdings schlägt selbst ein einfacher Befehl wie ShowMessage fehl und endet in einer AV ..

Irgendne Idee, wie man meinen Code umschreiben könnte, dass er eine Dll evt aus einem Pointer laden kann?

Wenn es in deiner EXE ist, mußt kommst du schon in deinem eigenen Prozeß in Schwierigkeiten, ist aber möglich. Aphex hatte da mal Delphi-Beispielcode. Wenn es allerdings in einen anderen Prozeß geht, mußt du natürlich die Prozeßgrenzen beachten und die DLL sauber ausgerichtet in den Prozeßraum des Zielprozesses schreiben. Im Gegensatz zu dem Beispiel welches du oben gepostet hast, dürfte damit die Idee, daß sich alle Prozesse deine injezierte DLL teilen passé sein.

Dll Injection aus einer Ressource oder eigener Exe

Dll Injection aus einer Ressource oder eigener Exe

Re: Dll Injection aus einer Ressource oder eigener Exe

Re: Dll Injection aus einer Ressource oder eigener Exe

Re: Dll Injection aus einer Ressource oder eigener Exe

Forumregeln

brechi Registriert seit: 30. Jan 2004 823 Beiträge	#2 Re: Dll Injection aus einer Ressource oder eigener Exe 3. Jan 2007, 16:19 schau dir mal http://uall.overclock.ch/uallCollection/ und dort InjectMe
	Zitat