{"id":299765,"date":"2020-03-06T09:00:26","date_gmt":"2020-03-06T09:00:26","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=299765"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=299765","title":{"rendered":"\u041a\u0430\u043a \u043d\u0430\u0439\u0442\u0438 \u0437\u043b\u043e\u0432\u0440\u0435\u0434\u0430 (\u043d\u0435\u0442) \u0441 WinDbg"},"content":{"rendered":"\n
\n

\u041a\u0430\u043a \u043d\u0430\u0439\u0442\u0438 \u0437\u043b\u043e\u0432\u0440\u0435\u0434\u0430 (\u043d\u0435\u0442) \u0441 WinDbg<\/h1>\n

<\/p>\n

\u0412\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u0435<\/h2>\n

<\/p>\n

\u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u044f \u043f\u043e\u043a\u0430\u0436\u0443, \u043a\u0430\u043a, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e WinDbg \u043d\u0430\u0439\u0442\u0438, \u043a\u0430\u043a\u043e\u0439 \u0442\u0430\u043a\u043e\u0439 \u0437\u043b\u043e\u0432\u0440\u0435\u0434 (\u0438\u043b\u0438 \u043d\u0435\u0442) \u0437\u0430\u043c\u0435\u043d\u0438\u043b \u0430\u0434\u0440\u0435\u0441 \u0432\u044b\u0437\u043e\u0432\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0432 DLL, \u043f\u043e\u0434\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u044b\u043c \u043a\u0430\u043a\u0438\u043c-\u043d\u0438\u0431\u0443\u0434\u044c \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c. \u0422\u0430\u043a \u044f, \u043a \u043f\u0440\u0438\u043c\u0435\u0440\u0443, \u0438\u0441\u043a\u0430\u043b \u043f\u043e\u0447\u0435\u043c\u0443 \u043d\u0435 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442\u0441\u044f \u043c\u043e\u0434\u0443\u043b\u044c \u0437\u0430\u0449\u0438\u0442\u044b \u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e 1\u0421<\/em>.
\u0414\u043b\u044f \u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u043d\u0430\u043c \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u0442\u0441\u044f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043f\u0430\u0440\u0443 DLL: \u043e\u0434\u043d\u0443 \u0438\u0437 \u043d\u0438\u0445 \u043d\u0430\u0437\u043e\u0432\u0451\u043c victim<\/strong> (\u0436\u0435\u0440\u0442\u0432\u0430<\/em>), \u0434\u0440\u0443\u0433\u0443\u044e \u2014 \u0445\u0438\u0449\u043d\u0438\u043a<\/del> injector<\/strong>. \u041f\u043e\u0441\u043b\u0435\u0434\u043d\u043d\u044f\u044f \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u0442\u0441\u044f \u0432 \u0436\u0435\u0440\u0442\u0432\u0443, \u0437\u0430\u043c\u0435\u043d\u044f\u044f \u0432\u044b\u0437\u043e\u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 (\u0434\u043b\u044f \u043f\u0440\u043e\u0441\u0442\u043e\u0442\u044b \u0432\u043e\u0437\u044c\u043c\u0451\u043c Sleep<\/strong>), \u0438 \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c AV \u043f\u0440\u0438 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u044b\u0445 \u0443\u0441\u043b\u043e\u0432\u0438\u044f\u0445 (\u0447\u0442\u043e \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u0442\u0441\u044f \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0435). <\/p>\n

<\/p>\n

\u0422.\u043a. \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 Delphi, "\u043d\u0435 \u043f\u0430\u0434\u0430\u044e\u0442" \u0432 core-dump \u0438\u0437-\u0437\u0430 \u043d\u0435\u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u044b\u0445 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0439, \u0442\u043e \u043d\u0430\u0448\u0435 \u0433\u043b\u0430\u0432\u043d\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 (DLLInjectionDemo) \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e \u043d\u0430 \u0421, \u043b\u0438\u043d\u043a\u043e\u0432\u0430\u043d\u043e \u0440\u0430\u043d\u043d\u0438\u043c \u0441\u0432\u044f\u0437\u044b\u0432\u0430\u043d\u0438\u0435\u043c \u0441 DLL-\u0436\u0435\u0440\u0442\u0432\u043e\u0439, \u0430 \u0434\u043b\u044f \u043f\u0440\u043e\u0441\u0442\u043e\u0442\u044b \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u0438, \u0431\u0443\u0434\u0435\u0442 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c DLL-injector, \u043f\u0435\u0440\u0435\u0434\u0430\u043d\u043d\u0443\u044e \u0432 \u043e\u043f\u0446\u0438\u044f\u0445 \u043f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435, \u0438 \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c \u0432 \u043d\u0435\u0439 \u043c\u0435\u0442\u043e\u0434, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0430\u0432\u0440\u0435\u0434\u0438\u0442 \u0436\u0435\u0440\u0442\u0432\u0435. \u041a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e \u0434\u043b\u044f \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438 \u043d\u0430\u043c \u043f\u043e\u0434\u043e\u0448\u043b\u043e \u0431\u044b \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0435 \u043d\u0430 \u043b\u044e\u0431\u043e\u043c \u044f\u0437\u044b\u043a\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u043d\u043e \u0443\u0431\u044c\u0451\u043c \u0434\u0432\u0443\u0445 \u0437\u0430\u0439\u0446\u0435\u0432 \u0441\u0440\u0430\u0437\u0443.<\/em><\/p>\n

<\/p>\n

\u0418\u0441\u0445\u043e\u0434\u043d\u044b\u0435 \u043a\u043e\u0434\u044b<\/a> \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u044b \u043d\u0430 C \u0438 Delphi 10.3 Rio Community Edition, \u0438 \u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u0443\u044e\u0442\u0441\u044f MinGW \u0438 Delphi, \u043a\u0430\u043a \u0434\u043b\u044f Win32, \u0442\u0430\u043a \u0438 \u0434\u043b\u044f Win64 (\u0430 \u0442\u0430\u043a\u0436\u0435 FPC \u0432 Lazarus-\u0435)<\/del>.<\/p>\n

<\/p>\n

\u0418\u0442\u0430\u043a \u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u0443\u0435\u043c \u043e\u0431\u0435 DLL \u0438 \u0433\u043b\u0430\u0432\u043d\u043e\u0435<\/em> \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435<\/p>\n

<\/a> <\/p>\n

> msbuild \/t:build victim.dproj \/p:Platform=Win32;Config=Debug;DCC_Exeoutput=. > msbuild \/t:build injector.dproj \/p:Platform=Win32;Config=Debug;DCC_Exeoutput=. > mingw32-make<\/code><\/pre>\n
  <\/p>\n
\u0434\u043b\u044f \u0441\u0431\u043e\u0440\u043a\u0438 make-\u043e\u043c \u043e\u0442 MinGW \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u043e\u043f\u0438\u0441\u0430\u0442\u044c \u0435\u0433\u043e \u0432 PATH, \u043a\u043e\u043d\u0435\u0447\u043d\u043e<\/em><\/p>\n
  <\/p>\n
\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u0433\u043b\u0430\u0432\u043d\u043e\u0435<\/em> \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0431\u0435\u0437 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432:<\/p>\n
  <\/p>\n
C:\\Users\\demo>DLLInjectionDemo.exe Sleeping 100 milliseconds Done!<\/code><\/pre>\n
  <\/p>\n
\u0417\u0430\u0442\u0435\u043c \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u0441 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430\u043c\u0438 -L injector<\/code> (\u043d\u0430\u043f\u043e\u043c\u043d\u044e, \u0447\u0442\u043e \u044d\u0442\u043e \u0434\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u044d\u043c\u0443\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u0435, \u043a\u043e\u0433\u0434\u0430 \u0443 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0443\u0436\u0435 \u0447\u0442\u043e-\u0442\u043e \u043d\u0435 \u0442\u0430\u043a \u043f\u0435\u0440\u0435\u0434 \u0432\u044b\u0437\u043e\u0432\u043e\u043c \u043d\u0443\u0436\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438)<\/p>\n
  <\/p>\n
c:\\Users\\demo>DLLInjectionDemo.exe -L injector Loading injector Searching... oleaut32.dll advapi32.dll user32.dll kernel32.dll kernel32.dll user32.dll version.dll kernel32.dll kernel32.dll netapi32.dll oleaut32.dll Injected Sleeping 100 milliseconds New sleep instead of 100 Done!<\/code><\/pre>\n
  <\/p>\n
\u0422\u0443\u0442 \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043d\u0430\u0448\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0432\u0435\u0434\u0451\u0442 \u0441\u0435\u0431\u044f \u0441\u0442\u0440\u0430\u043d\u043d\u043e, \u0438 \u0432\u043c\u0435\u0441\u0442\u043e Sleep \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0447\u0442\u043e-\u0442\u043e \u043d\u0435\u043e\u0436\u0438\u0434\u0430\u043d\u043d\u043e\u0435. \u041c\u044b \u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0432 \u043a\u043e\u0434 \u043d\u0430\u0448\u0435\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043f\u043e\u043d\u0438\u043c\u0430\u0435\u043c (\u0430 \u0442\u0430\u043a\u0436\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u0438\u043c, \u0447\u0442\u043e \u044d\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0441\u043e \u0441\u043b\u043e\u0432 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b). \u0422\u043e\u0433\u0434\u0430 \u043c\u044b \u043f\u0440\u043e\u0441\u0438\u043c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0441\u043d\u044f\u0442\u044c \u0434\u0430\u043c\u043f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440\u0430 \u0437\u0430\u0434\u0430\u0447 (\u0438 \u0434\u0430, \u044f \u043d\u0435 \u0441\u0434\u0435\u043b\u0430\u043b GUI-\u0432\u0435\u0440\u0441\u0438\u044e, \u0442\u0430\u043a \u0447\u0442\u043e, \u0434\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0441\u043d\u044f\u0442\u044c \u0434\u0430\u043c\u043f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0435\u0433\u043e \u0440\u0430\u0431\u043e\u0442\u044b, \u044f \u0434\u043e\u0431\u0430\u0432\u0438\u043b \u043a\u043b\u044e\u0447 -i<\/code>(interactive<\/em>)). \u0422\u0430\u043a \u0447\u0442\u043e \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c<\/p>\n
  <\/p>\n
c:\\Users\\demo>DLLInjectionDemo.exe -i -L injector Loading injector Searching... oleaut32.dll advapi32.dll user32.dll kernel32.dll kernel32.dll user32.dll version.dll kernel32.dll kernel32.dll netapi32.dll oleaut32.dll Injected Sleeping 100 milliseconds New sleep instead of 100 Done! Press ENTER...<\/code><\/pre>\n
  <\/p>\n
\u041f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 (\u0432 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u0436\u0434\u0451\u0442 \u0432\u0432\u043e\u0434\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f). \u0421\u043d\u0438\u043c\u0430\u0435\u043c \u0434\u0430\u043c\u043f \u044d\u0442\u043e\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430: \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u043c \u0434\u0438\u0441\u043f\u0435\u0442\u0447\u0435\u0440 \u0437\u0430\u0434\u0430\u0447, \u0437\u0430\u043a\u043b\u0430\u0434\u043a\u0443 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b, \u043d\u0430\u0445\u043e\u0434\u0438\u043c \u043f\u0440\u043e\u0446\u0435\u0441\u0441, \u043f\u0440\u0430\u0432\u0430\u044f \u043a\u043d\u043e\u043f\u043a\u0430 \u043c\u044b\u0448\u0438, \u0432 \u043c\u0435\u043d\u044e \u0432\u044b\u0431\u0438\u0440\u0430\u0435\u043c "\u0421\u043e\u0437\u0434\u0430\u0442\u044c \u0444\u0430\u0439\u043b \u0434\u0430\u043c\u043f\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430…", \u0436\u0434\u0451\u043c \u043f\u043e\u043a\u0430\u0437\u0430 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043e \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u0438 \u0441\u043d\u044f\u0442\u0438\u044f \u0434\u0430\u043c\u043f\u0430 \u0438 \u0438\u0437 \u043d\u0435\u0433\u043e \u043a\u043e\u043f\u0438\u0440\u0443\u0435\u043c \u0438\u043b\u0438 \u0437\u0430\u043f\u043e\u043c\u0438\u043d\u0430\u0435\u043c \u043f\u0443\u0442\u044c \u043a \u0444\u0430\u0439\u043b\u0443 \u0434\u0430\u043c\u043f\u0430.<\/p>\n
  <\/p>\n
\u0417\u0430\u0442\u0435\u043c \u0431\u0435\u0440\u0451\u043c \u0432 \u0440\u0443\u043a\u0438 \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a WinDbg, \u0438 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u043c \u0432 \u043d\u0451\u043c \u044d\u0442\u043e\u0442 \u0434\u0430\u043c\u043f:<\/p>\n
  <\/p>\n
\u0438\u0437 \u043c\u0435\u043d\u044e File<\/code> \u2014 Open Crash Dump (Ctrl+D)<\/code><\/p>\n
  <\/p>\n
\u0438\u043b\u0438 \u0438\u0437 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438 \u0441\u0440\u0430\u0437\u0443:<\/p>\n
  <\/p>\n
%PROGRAM FILES%\\Windows Kits\\10\\Debuggers\\x64\\windbg.exe" -z C:\\Users\\demo\\App Data\\Local\\Temp\\DLLInjectionDemo.DMP<\/code><\/p>\n
  <\/p>\n
Loading Dump File [C:\\Users\\alex\\AppData\\Local\\Temp\\DLLInjectionDemo.DMP] User Mini Dump File with Full Memory: Only application data is available  Symbol search path is: srv* Executable search path is:  Windows 7 Version 7601 (Service Pack 1) MP (4 procs) Free x64 Product: WinNt, suite: SingleUserTS Machine Name: Debug session time: Thu Jul  4 08:46:18.000 2019 (UTC + 3:00) System Uptime: 17 days 12:25:45.404 Process Uptime: 0 days 0:00:10.000 ........................ For analysis of this file, run !analyze -v ntdll!NtRequestWaitReplyPort+0xa: 00000000`77bcddfa c3              ret <\/code><\/pre>\n
  <\/p>\n
\u043f\u043e\u0434\u0441\u043a\u0430\u0437\u043a\u0435 For analysis of this file, run !analyze -v<\/code> \u043f\u043e\u043a\u0430 \u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u044c \u043d\u0435 \u0431\u0443\u0434\u0435\u043c (\u0445\u043e\u0442\u044f \u043b\u044e\u0431\u043e\u043f\u044b\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435 \u043c\u043e\u0433\u0443\u0442 \u0438 \u043f\u043e\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u044c, \u043d\u0438\u0447\u0435\u0433\u043e \u0441\u0442\u0440\u0430\u0448\u043d\u043e\u0433\u043e \u043d\u0435 \u043f\u0440\u043e\u0438\u0437\u043e\u0439\u0434\u0451\u0442).<\/p>\n
  <\/p>\n
\u041d\u0430\u0441 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0443\u0435\u0442 IAT \u2014 \u0442\u0430\u0431\u043b\u0438\u0446\u0430 \u0430\u0434\u0440\u0435\u0441\u043e\u0432 \u0438\u043c\u043f\u043e\u0440\u0442\u0430 (Import Address Table) \u2014 DLL, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043f\u0440\u043e\u0438\u0437\u043e\u0448\u043b\u0430 \u043f\u043e\u0434\u043c\u0435\u043d\u0430 \u0430\u0434\u0440\u0435\u0441\u0430 (\u043f\u043e\u0447\u0435\u043c\u0443? \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u043c\u044b \u0437\u043d\u0430\u0435\u043c, \u0447\u0442\u043e \u0441\u0430\u043c\u0438 \u0445\u043e\u0442\u0438\u043c \u0437\u0430\u043c\u0435\u043d\u0438\u0442\u044c \u0430\u0434\u0440\u0435\u0441 \u0432 IAT \ud83d\ude09 ). \u041a \u0441\u0447\u0430\u0441\u0442\u044c\u044e, \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0432\u0441\u0435\u0445 PE-\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440 \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 (\u0431\u0443\u0434\u044c \u0442\u043e DLL \u0438\u043b\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441) \u043e\u0442\u043b\u0430\u0434\u0447\u0438\u043a WinDbg \u0438\u0437 Windows 10 SDK (\u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043b\u0435\u0433\u043a\u043e \u0438 \u043d\u0435\u043f\u0440\u0438\u043d\u0443\u0436\u0434\u0451\u043d\u043d\u043e \u0441\u0442\u0430\u0432\u0438\u0442\u0441\u044f \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u0438 \u043d\u0430 Windows 7) \u0443\u0436\u0435 \u0438\u043c\u0435\u0435\u0442 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430, \u043d\u0435 \u0432\u044b\u043d\u0443\u0436\u0434\u0430\u044f \u043d\u0430\u0441 \u0441\u0430\u043c\u0438\u043c \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u043d\u0430 "\u0441\u0442\u0440\u0430\u043d\u043d\u044b\u0435 \u0431\u0435\u0440\u0435\u0433\u0430<\/a>", \u043a\u0430\u043a \u0431\u044b \u043c\u044b \u044d\u0442\u043e \u0441\u0434\u0435\u043b\u0430\u043b\u0438 \u0432 WinDbg 6, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440.<\/p>\n
  <\/p>\n
\u0422\u0430\u043a \u0447\u0442\u043e \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0441\u0432\u043e\u0438\u043c \u0441\u0447\u0430\u0441\u0442\u044c\u0435\u043c. \u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u043d\u0430\u0439\u0434\u0451\u043c \u0430\u0434\u0440\u0435\u0441\u0430 \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439:<\/p>\n
  <\/p>\n
lm<\/code><\/p>\n
  <\/p>\n
0:000> lm start             end                 module name 00000000`003b0000 00000000`003db000   injector   (deferred)              00000000`00400000 00000000`00412000   DLLInjectionDemo   (deferred)              00000000`00520000 00000000`00616000   victim     (deferred)              00000000`6e580000 00000000`6e5b4000   libmingwex_2   (deferred)              00000000`72870000 00000000`72886000   netapi32   (deferred)              ...<\/code><\/pre>\n
  <\/p>\n
Nota bene: \u041d\u0430 32-\u0431\u0438\u0442\u043d\u043e\u0439 \u041e\u0421 \u0430\u0434\u0440\u0435\u0441\u0430, \u0435\u0441\u0442\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043e\u0442\u043b\u0438\u0447\u0430\u044e\u0442\u0441\u044f \u043e\u0442 64-\u0431\u0438\u0442\u043d\u044b\u0445…<\/em><\/p>\n
  <\/p>\n
\u0423\u0431\u0435\u0436\u0434\u0430\u0435\u043c\u0441\u044f, \u0447\u0442\u043e \u043d\u0430\u0448\u0438 DLL \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u044b, \u043d\u0430\u043c \u043d\u0443\u0436\u043d\u0430 IAT \u0436\u0435\u0440\u0442\u0432\u044b, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u0443 !dh<\/code> \u0441 \u043a\u043b\u044e\u0447\u043e\u043c -a<\/code>:<\/p>\n
  <\/p>\n
!dh 009c0000 -a<\/code> <\/p>\n
  <\/p>\n
\u0438\u043b\u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u044f\u043c<\/p>\n
  <\/p>\n
!dh victim -a<\/b><\/p>\n
\n
0:000> !dh victim -a  File Type: DLL FILE HEADER VALUES      14C machine (i386)        A number of sections 5E5F4251 time date stamp Wed Mar  4 09:53:21 2020         0 file pointer to symbol table        0 number of symbols       E0 size of optional header     A18E characteristics             Executable             Line numbers stripped             Symbols stripped             Bytes reversed             32 bit word machine             DLL  OPTIONAL HEADER VALUES      10B magic #     2.25 linker version    CE400 size of code    1BA00 size of initialized data        0 size of uninitialized data    CF79C address of entry point     1000 base of code          ----- new ----- 0000000000400000 image base     1000 section alignment      200 file alignment        2 subsystem (Windows GUI)     5.00 operating system version     0.00 image version     5.00 subsystem version    F6000 size of image      400 size of headers        0 checksum 0000000000000000 size of stack reserve 0000000000000000 size of stack commit 0000000000100000 size of heap reserve 0000000000001000 size of heap commit        0  DLL characteristics    DD000 [      A4] address [size] of Export Directory    DA000 [    105C] address [size] of Import Directory    F3000 [    2A00] address [size] of Resource Directory        0 [       0] address [size] of Exception Directory        0 [       0] address [size] of Security Directory ...<\/code><\/pre>\n<\/div>\n<\/div>\n
  <\/p>\n
\u043b\u0438\u0441\u0442\u0430\u0435\u043c \u0434\u043e \u0442\u0430\u0431\u043b\u0438\u0446 \u0438\u043c\u043f\u043e\u0440\u0442\u0430 kernel32.dll (\u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u043d\u0443\u0436\u043d\u0430\u044f \u043d\u0430\u043c \u0444\u0443\u043d\u043a\u0446\u0438\u044f Sleep<\/strong>)<\/p>\n
  <\/p>\n
Nota bene: \u041d\u0430 32-\u0431\u0438\u0442\u043d\u043e\u0439 \u041e\u0421 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u0435\u043a\u0446\u0438\u0439_IMAGE_IMPORT_DESCRIPTOR \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 \u0442\u0430\u043a\u043e\u0432\u044b\u0445 \u043d\u0430 64-\u0431\u0438\u0442\u043d\u043e\u0439. \u041f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0435, \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e, \u0441\u0432\u044f\u0437\u0430\u043d\u043e \u0441 \u0440\u0430\u0437\u043d\u0438\u0446\u0435\u0439 \u043a\u043e\u043c\u043f\u0438\u043b\u044f\u0442\u043e\u0440\u043e\u0432 Delphi \u0434\u043b\u044f \u044d\u0442\u0438\u0445 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c.<\/em><\/p>\n
  <\/p>\n
...   _IMAGE_IMPORT_DESCRIPTOR 00000000005fa03c     kernel32.dll               005FA398 Import Address Table               005FA11C Import Name Table                      0 time date stamp                      0 Index of first forwarder reference         003C7C7C    0 Sleep        76EE184A    0 VirtualFree        76EE1832    0 VirtualAlloc        76EE16DC    0 lstrlenW        76EE4422    0 VirtualQuery        76EE110C    0 GetTickCount ...<\/code><\/pre>\n
  <\/p>\n
\u0412\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u0431\u0430\u0437\u043e\u0432\u044b\u0439 \u0430\u0434\u0440\u0435\u0441 \u044d\u0442\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442<\/p>\n
  <\/p>\n
\u0431\u0430\u0437\u043e\u0432\u043e\u0433\u043e \u0430\u0434\u0440\u0435\u0441\u0430 `kernel32.dll`<\/b><\/p>\n
\n
0:000> !dh kernel32  File Type: DLL FILE HEADER VALUES      14C machine (i386)        4 number of sections 5708A7E3 time date stamp Sat Apr  9 10:57:39 2016  ...          ----- new ----- 0000000076ed0000 image base ...<\/code><\/pre>\n
  <\/p>\n
\u0442.\u0435. 0000000076ed0000<\/p>\n<\/div>\n<\/div>\n
  <\/p>\n
\u041d\u0430\u0439\u0434\u0451\u043c \u043a\u0443\u0434\u0430 \u0436\u0435 \u0432\u0435\u0434\u0451\u0442 \u044d\u0442\u043e\u0442 \u0430\u0434\u0440\u0435\u0441, \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u0441\u043b\u043e\u0432\u0430\u043c\u0438 \u2014 \u043a\u0430\u043a\u043e\u043c\u0443 \u043c\u043e\u0434\u0443\u043b\u044e \u043e\u043d \u043f\u0440\u0438\u043d\u0430\u0434\u043b\u0435\u0436\u0438\u0442?<\/p>\n
  <\/p>\n
\u0412 WinDbg \u043a\u043e\u043c\u0430\u043d\u0434\u0430 lm<\/code> \u0438\u043c\u0435\u0435\u0442 \u043e\u043f\u0446\u0438\u044e \u0430<\/code> \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e:<\/p>\n
  <\/p>\n
0:000> lma 003C7C7C     Browse full module list start             end                 module name 00000000`003b0000 00000000`003db000   injector   (deferred)             <\/code><\/pre>\n
  <\/p>\n
\u0410\u0433\u0430, \u0432\u043e\u0442 \u043a\u0442\u043e \u0432\u0438\u043d\u043e\u0432\u0430\u0442! \u0422\u043e\u043b\u044c\u043a\u043e \u043d\u0430\u043c \u043a\u0430\u043a \u0431\u0443\u0434\u0442\u043e \u043d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e \u0447\u0442\u043e \u044d\u0442\u043e \u0437\u0430 \u043c\u043e\u0434\u0443\u043b\u044c. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u0440\u0438\u0441\u0442\u0430\u043b\u044c\u043d\u0435\u0439 (\u0443\u043a\u0430\u0436\u0435\u043c \u043a\u043b\u044e\u0447 v<\/code> \u0434\u043b\u044f lm<\/code>)<\/p>\n
  <\/p>\n
0:000> lma 003C7C7C v Browse full module list start             end                 module name 00000000`003b0000 00000000`003db000   injector   (deferred)                  Image path: z:\\habr\\DLLInjectionDemo\\injector.dll     Image name: injector.dll     Browse all global symbols  functions  data     Timestamp:        Wed Mar  4 09:53:12 2020 (5E5F4248)     CheckSum:         00000000     ImageSize:        0002B000     Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4     Information from resource tables:<\/code><\/pre>\n
  <\/p>\n
\u0410 \u0432\u043e\u0442 \u0433\u0434\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u043d\u0430\u0448 \u0432\u0438\u043d\u043e\u0432\u043d\u0438\u043a!<\/p>\n
  <\/p>\n
Image path: C:\\Users\\demo\\injector.dll<\/code><\/p>\n
  <\/p>\n
\u0414\u0430\u043b\u044c\u0448\u0435 \u0432\u044b\u044f\u0441\u043d\u044f\u0435\u043c \u0443\u0436\u0435 \u043e\u0442\u043a\u0443\u0434\u0430 \u043e\u043d \u0432\u0437\u044f\u043b\u0441\u044f \u0438 \u043a\u0430\u043a \u0435\u0433\u043e \u0443\u0434\u0430\u043b\u0438\u0442\u044c, \u043d\u043e \u044d\u0442\u043e \u0443\u0436\u0435 \u0438\u0441\u0442\u043e\u0440\u0438\u044f \u043d\u0430\u0441 \u043d\u0435 \u043a\u0430\u0441\u0430\u0435\u0442\u0441\u044f.<\/p>\n
  <\/p>\n
\u0412\u043e\u0442 \u0442\u0430\u043a \u0438 \u043c\u043d\u0435 \u0432 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0443\u0441\u043b\u043e\u0432\u0438\u044f\u0445 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0431\u044b\u0441\u0442\u0440\u043e \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043d\u0430\u0439\u0442\u0438 \u043d\u0430 \u043f\u0440\u0435\u0434\u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u043e\u0439 \u041e\u0421 \u043e\u0442 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044f \u043d\u0435\u043a\u0443\u044e \u0441\u0442\u0440\u0430\u043d\u043d\u0443\u044e DLL, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u043b\u0430 \u0432\u044b\u0437\u043e\u0432 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 WriteFile<\/code>.<\/p>\n
  <\/p>\n
\u041f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0438\u0437 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438 \u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0445\u043e\u0447\u0443 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c \u0447\u0438\u0442\u0430\u0442\u0435\u043b\u044e, \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e WinDbg \u0432\u044b\u044f\u0441\u043d\u0438\u0442\u044c \u043f\u043e\u0447\u0435\u043c\u0443 (\u0438\u043b\u0438 \u0445\u043e\u0442\u044f \u0431\u044b \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0433\u0434\u0435) \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0443\u043f\u0430\u043b\u043e \u0441 Access Violation, \u043f\u0440\u043e\u0438\u0437\u043e\u0448\u0435\u0434\u0448\u0438\u043c \u0432 DLL, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u043c \u043d\u0430 Delphi, \u043a\u043e\u0433\u0434\u0430 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u0430\u044f \u043e\u0442\u043b\u0430\u0434\u043a\u0430 \u043d\u0435\u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0430 \u043f\u043e \u043a\u0430\u043a\u043e\u0439-\u043b\u0438\u0431\u043e \u043f\u0440\u0438\u0447\u0438\u043d\u0435. \u041f\u0440\u0438 \u0442\u043e\u043c, \u0447\u0442\u043e Delphi \u043d\u0435 \u0438\u043c\u0435\u0435\u0442 \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0434\u0430\u043c\u043f\u0430 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0438 \u043d\u0435 \u0443\u043c\u0435\u0435\u0442 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c PDB-\u0444\u0430\u0439\u043b\u044b.<\/p>\n<\/div>\n
 \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438  https:\/\/habr.com\/ru\/post\/491298\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"\n
\n
\u041a\u0430\u043a \u043d\u0430\u0439\u0442\u0438 \u0437\u043b\u043e\u0432\u0440\u0435\u0434\u0430 (\u043d\u0435\u0442) \u0441 WinDbg<\/h1>\n
  <\/p>\n
\u0412\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u0435<\/h2>\n
  <\/p>\n
\u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u044f \u043f\u043e\u043a\u0430\u0436\u0443, \u043a\u0430\u043a, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e WinDbg \u043d\u0430\u0439\u0442\u0438, \u043a\u0430\u043a\u043e\u0439 \u0442\u0430\u043a\u043e\u0439 \u0437\u043b\u043e\u0432\u0440\u0435\u0434 (\u0438\u043b\u0438 \u043d\u0435\u0442) \u0437\u0430\u043c\u0435\u043d\u0438\u043b \u0430\u0434\u0440\u0435\u0441 \u0432\u044b\u0437\u043e\u0432\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0432 DLL, \u043f\u043e\u0434\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u044b\u043c \u043a\u0430\u043a\u0438\u043c-\u043d\u0438\u0431\u0443\u0434\u044c \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c. \u0422\u0430\u043a \u044f, \u043a \u043f\u0440\u0438\u043c\u0435\u0440\u0443, \u0438\u0441\u043a\u0430\u043b \u043f\u043e\u0447\u0435\u043c\u0443 \u043d\u0435 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442\u0441\u044f \u043c\u043e\u0434\u0443\u043b\u044c \u0437\u0430\u0449\u0438\u0442\u044b \u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e 1\u0421<\/em>.
  \u0414\u043b\u044f \u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u043d\u0430\u043c \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u0442\u0441\u044f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u043f\u0430\u0440\u0443 DLL: \u043e\u0434\u043d\u0443 \u0438\u0437 \u043d\u0438\u0445 \u043d\u0430\u0437\u043e\u0432\u0451\u043c victim<\/strong> (\u0436\u0435\u0440\u0442\u0432\u0430<\/em>), \u0434\u0440\u0443\u0433\u0443\u044e \u2014 \u0445\u0438\u0449\u043d\u0438\u043a<\/del> injector<\/strong>. \u041f\u043e\u0441\u043b\u0435\u0434\u043d\u043d\u044f\u044f \u0432\u043d\u0435\u0434\u0440\u044f\u0435\u0442\u0441\u044f \u0432 \u0436\u0435\u0440\u0442\u0432\u0443, \u0437\u0430\u043c\u0435\u043d\u044f\u044f \u0432\u044b\u0437\u043e\u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 (\u0434\u043b\u044f \u043f\u0440\u043e\u0441\u0442\u043e\u0442\u044b \u0432\u043e\u0437\u044c\u043c\u0451\u043c Sleep<\/strong>), \u0438 \u0431\u0443\u0434\u0435\u0442 \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c AV \u043f\u0440\u0438 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u044b\u0445 \u0443\u0441\u043b\u043e\u0432\u0438\u044f\u0445 (\u0447\u0442\u043e \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u0442\u0441\u044f \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0435). <\/p>\n
  <\/p>\n
\u0422.\u043a. \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 Delphi, "\u043d\u0435 \u043f\u0430\u0434\u0430\u044e\u0442" \u0432 core-dump \u0438\u0437-\u0437\u0430 \u043d\u0435\u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u044b\u0445 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0439, \u0442\u043e \u043d\u0430\u0448\u0435 \u0433\u043b\u0430\u0432\u043d\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435 (DLLInjectionDemo) \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e \u043d\u0430 \u0421, \u043b\u0438\u043d\u043a\u043e\u0432\u0430\u043d\u043e \u0440\u0430\u043d\u043d\u0438\u043c \u0441\u0432\u044f\u0437\u044b\u0432\u0430\u043d\u0438\u0435\u043c \u0441 DLL-\u0436\u0435\u0440\u0442\u0432\u043e\u0439, \u0430 \u0434\u043b\u044f \u043f\u0440\u043e\u0441\u0442\u043e\u0442\u044b \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u0438, \u0431\u0443\u0434\u0435\u0442 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c DLL-injector, \u043f\u0435\u0440\u0435\u0434\u0430\u043d\u043d\u0443\u044e \u0432 \u043e\u043f\u0446\u0438\u044f\u0445 \u043f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435, \u0438 \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c \u0432 \u043d\u0435\u0439 \u043c\u0435\u0442\u043e\u0434, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0430\u0432\u0440\u0435\u0434\u0438\u0442 \u0436\u0435\u0440\u0442\u0432\u0435. \u041a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e \u0434\u043b\u044f \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438 \u043d\u0430\u043c \u043f\u043e\u0434\u043e\u0448\u043b\u043e \u0431\u044b \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0435 \u043d\u0430 \u043b\u044e\u0431\u043e\u043c \u044f\u0437\u044b\u043a\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u043d\u043e \u0443\u0431\u044c\u0451\u043c \u0434\u0432\u0443\u0445 \u0437\u0430\u0439\u0446\u0435\u0432 \u0441\u0440\u0430\u0437\u0443.<\/em><\/p>\n
  <\/p>\n
\u0418\u0441\u0445\u043e\u0434\u043d\u044b\u0435 \u043a\u043e\u0434\u044b<\/a> \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u044b \u043d\u0430 C \u0438 Delphi 10.3 Rio Community Edition, \u0438 \u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u0443\u044e\u0442\u0441\u044f MinGW \u0438 Delphi, \u043a\u0430\u043a \u0434\u043b\u044f Win32, \u0442\u0430\u043a \u0438 \u0434\u043b\u044f Win64 (\u0430 \u0442\u0430\u043a\u0436\u0435 FPC \u0432 Lazarus-\u0435)<\/del>.<\/p>\n
  <\/p>\n
\u0418\u0442\u0430\u043a \u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u0443\u0435\u043c \u043e\u0431\u0435 DLL \u0438 \u0433\u043b\u0430\u0432\u043d\u043e\u0435<\/em> \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-299765","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/299765","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=299765"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/299765\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=299765"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=299765"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=299765"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}