Телеграмм чат группы DCG7812 страница 927

дальше DllEntry вызываются сразу?

12:14пожаловаться #1

Фугасе, в первый раз слышу, что так можно

12:15пожаловаться #2

так-то)

12:15пожаловаться #3

То есть передаётся управление на oep?

12:15пожаловаться #4

Entry point

12:15пожаловаться #5

ну походу да

12:15пожаловаться #6

мб кто-то глубже понимает, как это работает

12:16пожаловаться #7

Глубже отладчик в руки имхо

12:18пожаловаться #8

Что там лоадер делает

12:18пожаловаться #9

Шок контент прям

12:18пожаловаться #10

m🎃

max3raza 🎃 in DCG#7812 DEFCON-RUSSIA

да просто код выполняется скорее всего,пишут же код в заголовок

12:19пожаловаться #11

rzrzrz in DCG#7812 DEFCON-RUSSIA

Alexander Demidov

мб кто-то глубже понимает, как это работает

Отреверсируй

12:19пожаловаться #12

max3raza 🎃

да просто код выполняется скорее всего,пишут же код в заголовок

Там не разгуляешься, с условием что заголовок .... хм, там только mz проверяется ага

12:20пожаловаться #13

m🎃

max3raza 🎃 in DCG#7812 DEFCON-RUSSIA

ну это понятно что не разгуляешься, и что нужно специальноым образом сбилдить такую dll

12:21пожаловаться #14

m🎃

max3raza 🎃 in DCG#7812 DEFCON-RUSSIA

а так чтобы любая это похоже на бред)

12:21пожаловаться #15

ясн)

12:22пожаловаться #16

я думал, мб createthread видит MZ и прыгает на ep

12:22пожаловаться #17

Это оч маловероятно

12:23пожаловаться #18

Стартовая функция инжектится через АРС из ядра

12:23пожаловаться #19

Но да, не сразу на параметр