Показано с 1 по 16 из 16.

DLL Control

  1. #1
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76

    DLL Control

    я тут тулзу наклепал умеет как инжектить дллки в процессы так и винимать их оттуда

    потестите плз если кому не лень

    http://www.hot.ee/ssxp/DllCtrl.exe

    k primeru

    usage: DllCtrl.exe -unloadall c:\virus.dll

    or

    usage: DllCtrl.exe -unload 1234(pid) c:\virus.dll

    or

    usage: DllCtrl.exe -unload notepad.exe c:\virus.dll -resolve

    + dobavlaja v kontse parametr -force progra budet brat sebe previlegii kotorie pozvolat vigruzat i zagruzat dllki v/is systemih processov ili servisov

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:DLL Control

    Цитата Сообщение от Sanja
    я тут тулзу наклепал умеет как инжектить дллки в процессы так и винимать их оттуда

    потестите плз если кому не лень
    Работает, куда же ей деваться ... классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса FreeLibrary. Но только главная проблема не решается - я для пробы выгрузил AcroIEHelper.dll из IE - в результате IE капитально завис. В этом то и проблема ....

  4. #3
    Geser
    Guest

    Re:DLL Control

    [quote author=Зайцев Олег link=board=25;threadid=353;start=0#msg2829 date=1102610067]
    Работает, куда же ей деваться ... классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса FreeLibrary. Но только главная проблема не решается - я для пробы выгрузил AcroIEHelper.dll из IE - в результате IE капитально завис. В этом то и проблема ....
    [/quote]
    А представь себе диск NTFS, dll которая стартует в том числе и в защищённом режиме, и защищает свои ключи в реестре. Не выгрузив избавиться от неё невозможно.
    Если что-то при выгрузке повиснет, это не страшно. Главное что бы система не повисла.

  5. #4
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76

    Re:DLL Control

    да я все знаю просто хотел свое написать

  6. #5
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76

    Re:DLL Control

    обновил до версии 1.1 пофиксил баг нерабочего -list

    Gaser - выложи у себя на форуме а то нехочу у себя держать

  7. #6
    Geser
    Guest

    Re:DLL Control

    Цитата Сообщение от Sanja
    обновил до версии 1.1 пофиксил баг нерабочего -list

    Gaser - выложи у себя на форуме а то нехочу у себя держать
    А нормальное описание ключей где?

  8. #7
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76

    Re:DLL Control

    DllCtrl.exe bez parametrov

    dalse mozno dllctrl -load i tam budut parametri

  9. #8
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79

    Re:DLL Control

    Давай уж и исходники сюда, будет неплохой мануал для начинающих инджектеров, имхо =))

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:DLL Control

    Цитата Сообщение от Xen
    Давай уж и исходники сюда, будет неплохой мануал для начинающих инджектеров, имхо =))
    Исходники в качестве мануала вероятно не нужны - Рихтер "Windows для профессионалов", глава 22 -"Внедрение DLL и перехват API вызовов", там все примеры примеры есть.
    Другое дело, что утилиту стоит доработать, чтобы она умела убивать "неубиваемые" процессы (это уже не трудно) и работать не только по PID процесса, но и по имени EXE. Получится неплохой консольный киллер для процессов и библиотек.

  11. #10
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79

    Re:DLL Control

    Извиняюсь за ламерский вопрос, а есть ли какие-нибудь жесткие системные ограничения на терминейшн системных же процессов и инджектинг/релиз длл в чужих адресных пространствах?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:DLL Control

    Цитата Сообщение от Xen
    Извиняюсь за ламерский вопрос, а есть ли какие-нибудь жесткие системные ограничения на терминейшн системных же процессов и инджектинг/релиз длл в чужих адресных пространствах?
    Есть конечно - тут несколько моментов:
    1. Методики внедрения DLL различны для 9x и W-NT (в NT подобных системах плюс еще чудеса с правами (из под админа все работает, но из по обычного юзера многие мотодики могут не сработать);
    2. Есть неубиваемые процессы (простейший метод - два процесса и контроль крес-накрест - убиваем один - тут-же второй его перезапускает, или сервис с опцией перезапуска);
    3. Руткит, который перехватывает жизненно важные API, в том числе енумерацию процессов и их убиение - в результате можно сделать любые процессы невидимыми и неубиваемыми

  13. #12
    Guest

    Re:DLL Control

    po process name umeet ubivat nado prosto vmesto pida napisat process name a v kontse dobavit parametr -resolve

    nashet ubiystva processov est u mena odna razrabotka hot code i ne moy no ishodnik u mena imeetsa (razdavat nemogu) pokazivat spisok processov is pod kernela i windi sravnivaet i pome4aet rootkiti esli tuda dobavit ubystvo processov is pod drivera delaetsa ne trudno no ja s native API i razrabotkoy driverov neznakom KeAttachProcess / NtTerminateProcess / KeDetachProcess i budet mega terminator

    kstati 4to to u mena na viruslist 4erez IE perestalo zahodit... visnet nagluho.. Gaser, 4to ti tam menal? sha pisu is Operi

  14. #13
    Geser
    Guest

    Re:DLL Control

    Цитата Сообщение от xSanja
    kstati 4to to u mena na viruslist 4erez IE perestalo zahodit... visnet nagluho.. Gaser, 4to ti tam menal? sha pisu is Operi
    Да ничего не менял уже недели 2. Мож временные файлы почистить?

  15. #14
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79

    Re:DLL Control

    Ага, сенкс Олегу за ответ, перехват енумерации процессов (тулхелп функций) через патч физической памяти и кросс-контроль я реализовывал, что меня интересовало, грубо говоря, любой ли процесс можно кильнуть или покопаться в его адресс-спейсе?

  16. #15
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76

    Re:DLL Control

    4erez driver - luboy

  17. #16
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79

    Re:DLL Control

    Пошел ставить DDK =)

Похожие темы

  1. preventive control
    От petrusilka в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 04.07.2010, 23:52
  2. Catalyst Control Center
    От H2oOzZ в разделе Microsoft Windows
    Ответов: 4
    Последнее сообщение: 27.03.2009, 12:19
  3. Catalyst Control Center
    От H2oOzZ в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 26.03.2009, 21:42
  4. Norman Virus Control
    От Geser в разделе Антивирусы
    Ответов: 7
    Последнее сообщение: 14.01.2005, 12:48

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01471 seconds with 19 queries