LoadLibraryA in eine DLL patchen? (reverse engineering)



  • Hallo liebe C++ Community,

    vor einiger Zeit habe ich bereits hier: Hook MessageBoxA versucht eine MessageBox zu hooken und weiter zu verarbeiten, das ganze hat auch super geklappt.

    Das Problem ist nun, das ich an der nächsten exe am scheitern bin, diese ist nämlich selbst entpackend und ein Patch der exe bringt mich nicht weiter, da alle injizierten DLL's wieder raus geschmissen werden, eine injizierung zur Laufzeit lässt bei uns auf Arbeit leider der Virenscanner nicht zu.

    Da dieses Programm jedoch 2 DLL's zur Laufzeit lädt, dachte ich mir, könne ich ja dafür sorgen das eine davon dann meine DLL lädt.
    Problem ist nun aber das die hauseigene DLL nicht die Methode LoadLibraryA kennt und ich diese ja benötige um meine DLL zu laden.

    Die exe scheint in VB und Cobol geschrieben zu sein, da wir jedoch keinen teuren Decompiler uns kaufen können, brauche ich eine andere Lösung.

    Wäre schön wenn mir jemand helfen könnte 🙂



  • Hast du schon mal versucht einen Thread zu starten und deine Funktion erst zeitverzögert zu patchen? Damit kannst du das Selbstentpacken austricksen. Ansonsten könntest du deine LoadLibrary in der Importable der DLL eintragen und deinen Code von Hand injecten, hatte da mal was geniales:
    http://www.ntcore.com/files/inject2exe.htm
    Ist nicht genau das was du brauchst, aber zumindest weißt du dann vielleicht wonach du suchen brauchst.

    Hoffe ich konnte dir helfen.



  • schreib deine DLL einfach in die lade tabelle im PE header, dann brauchste auch nix hooken.



  • @KN4CK3R
    Wie meinst du ? Er will ja was hooken, ohne Hook wird er da nicht weit kommen.

    DeeKay0 schrieb:

    eine injizierung zur Laufzeit lässt bei uns auf Arbeit leider der Virenscanner nicht zu.

    Wie genau versuchst du die DLL denn zu injizieren ? Und welcher Virenscanner ist das ?


Log in to reply