memory mapped file + VirtualProtect = return false

Vous avez un problème pour cracker ou vous souhaitez parler de reversing en général...

memory mapped file + VirtualProtect = return false

Messagepar dqfqfzqeqze » 02 Septembre 2017, 11:16

Bonjour,

J'ai une appli qui a été obfuscaté depuis la dernière mise à jour.

Après inspection, durant l'execution, la section .text semble étre un "memory mapped file", avec un protect = PAGE_EXECUTE_READ. (Donc ya probablement un loader fait maison... en plus dans l'exe la section .text est cryptée, bref)
J'ai besoin de faire des modif de code dans la section donc j'ai fait un dll inject, puis essayé de faire un VirtualProtect avec PAGE_EXECUTE_WRITECOPY puisque c'est sensé marcher avec les mapped files,
mais la fonction retourne 0 avec ERROR_INVALID_PARAMETER. ( j'ai testé en créant un mapped file moi meme, avec les memes droits, le VirtualProtect marche correctement).

J'ai vérif le code de VirtualProtect il n'a pas été modifié.

J'ai pensé à un moment que ca pouvait etre lié au security attribute, (voir h t t p s : / / m s d n .microsoft.com/en-us/library/windows/desktop/aa366537(v=vs.85).aspx)
mais visiblement, après tests et recherches, ca ne permet pas d'empécher un VirtualProtect.... donc c'est probablement pas ca.

A savoir que ya des anti-debug, notamment des trap page, etc...

Je suis un peu bloqué là... la seule idée qui me vient c'est de créer une fake dll Kernel32 pour intercepter les CreateFileMapping et voir ce que ca donne... mais c'est beaucoup de boulot pour pas grand chose.

Est ce que ca vous fait penser à quelque chose? Vous avez déjà vu ca?
dqfqfzqeqze
 
Messages: 1
Inscription: 02 Septembre 2017, 10:52

Retourner vers Reversing

Qui est en ligne

Utilisateurs parcourant ce forum: Bing [Bot] et 5 invités