غير مُجاب كيف يعرف ozone rat أنه تم تشغيله بالحقن

تم تحميل الصفحة في 0,1041217 ثانية
كيف يعرف ozone rat أنه تم تشغيله بالحقن
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
اليوم كنت أجرب أشغل ozone rat من الذاكرة (غير RunPe)
ولاحظت إنه كل ما أشغل نقطة الدخول تبعه بيتم الخروج من البرنامج اللي قام بتلويده علطول
فاستنتجت إنه ozone rat هو من أنهي العملية

وهذا هو كود تشغيل نقطة الدخول

كود:
int PeLdr::exec() {
    cout << "exec\n";
    UINT_PTR ep = image + entryPoint;
    using mm = int(*)();
    mm m = (mm)ep;
    m();
    cout << "finished\n"; // the process is terminated before reaching here
    return true;
}
يتم إغلاق العملية بدون أي كراش أو أي شيء

وبالنظر في جدول الاستيراد رأيت ExitProcess
فحاولت أعمل لها هوك بهذه الدالة

C++:
void hook_Exit(UINT res) { MessageBoxA(0,"from hooked ExitProcess",0,0); return; }
وفعلا فور اشتغال ozone rat ظهرت الرسالة
معناه إنه طلب إنها العملية

والدالة المزيفة لم تنه العملية لذلك حصل كراش لأنه التنفيذ وصل لمرحلة خاطئة بعد عدم إنهاء العملية

هل من أفكار حول هذه المشكلة ؟

مع العلم إنه ozone rat يعمل عادي تحت المنقح ولا يحاول اكتشافه
ويشتغل عادي مع windbg
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل