-
Visiting Helper
- Вес репутации
- 76
DLL Control
я тут тулзу наклепал умеет как инжектить дллки в процессы так и винимать их оттуда
потестите плз если кому не лень
http://www.hot.ee/ssxp/DllCtrl.exe
k primeru
usage: DllCtrl.exe -unloadall c:\virus.dll
or
usage: DllCtrl.exe -unload 1234(pid) c:\virus.dll
or
usage: DllCtrl.exe -unload notepad.exe c:\virus.dll -resolve
+ dobavlaja v kontse parametr -force progra budet brat sebe previlegii kotorie pozvolat vigruzat i zagruzat dllki v/is systemih processov ili servisov
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:DLL Control
Сообщение от
Sanja
я тут тулзу наклепал умеет как инжектить дллки в процессы так и винимать их оттуда
потестите плз если кому не лень
Работает, куда же ей деваться ... классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса FreeLibrary. Но только главная проблема не решается - я для пробы выгрузил AcroIEHelper.dll из IE - в результате IE капитально завис. В этом то и проблема ....
-
-
Re:DLL Control
[quote author=Зайцев Олег link=board=25;threadid=353;start=0#msg2829 date=1102610067]
Работает, куда же ей деваться ... классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса FreeLibrary. Но только главная проблема не решается - я для пробы выгрузил AcroIEHelper.dll из IE - в результате IE капитально завис. В этом то и проблема ....
[/quote]
А представь себе диск NTFS, dll которая стартует в том числе и в защищённом режиме, и защищает свои ключи в реестре. Не выгрузив избавиться от неё невозможно.
Если что-то при выгрузке повиснет, это не страшно. Главное что бы система не повисла.
-
-
Visiting Helper
- Вес репутации
- 76
Re:DLL Control
да я все знаю просто хотел свое написать
-
-
Visiting Helper
- Вес репутации
- 76
Re:DLL Control
обновил до версии 1.1 пофиксил баг нерабочего -list
Gaser - выложи у себя на форуме а то нехочу у себя держать
-
-
Re:DLL Control
Сообщение от
Sanja
обновил до версии 1.1 пофиксил баг нерабочего -list
Gaser - выложи у себя на форуме а то нехочу у себя держать
А нормальное описание ключей где?
-
-
Visiting Helper
- Вес репутации
- 76
Re:DLL Control
DllCtrl.exe bez parametrov
dalse mozno dllctrl -load i tam budut parametri
-
-
Re:DLL Control
Давай уж и исходники сюда, будет неплохой мануал для начинающих инджектеров, имхо =))
-
Re:DLL Control
Сообщение от
Xen
Давай уж и исходники сюда, будет неплохой мануал для начинающих инджектеров, имхо =))
Исходники в качестве мануала вероятно не нужны - Рихтер "Windows для профессионалов", глава 22 -"Внедрение DLL и перехват API вызовов", там все примеры примеры есть.
Другое дело, что утилиту стоит доработать, чтобы она умела убивать "неубиваемые" процессы (это уже не трудно) и работать не только по PID процесса, но и по имени EXE. Получится неплохой консольный киллер для процессов и библиотек.
-
-
Re:DLL Control
Извиняюсь за ламерский вопрос, а есть ли какие-нибудь жесткие системные ограничения на терминейшн системных же процессов и инджектинг/релиз длл в чужих адресных пространствах?
-
Re:DLL Control
Сообщение от
Xen
Извиняюсь за ламерский вопрос, а есть ли какие-нибудь жесткие системные ограничения на терминейшн системных же процессов и инджектинг/релиз длл в чужих адресных пространствах?
Есть конечно - тут несколько моментов:
1. Методики внедрения DLL различны для 9x и W-NT (в NT подобных системах плюс еще чудеса с правами (из под админа все работает, но из по обычного юзера многие мотодики могут не сработать);
2. Есть неубиваемые процессы (простейший метод - два процесса и контроль крес-накрест - убиваем один - тут-же второй его перезапускает, или сервис с опцией перезапуска);
3. Руткит, который перехватывает жизненно важные API, в том числе енумерацию процессов и их убиение - в результате можно сделать любые процессы невидимыми и неубиваемыми
-
-
-
-
Re:DLL Control
Сообщение от
xSanja
kstati 4to to u mena na viruslist 4erez IE perestalo zahodit... visnet nagluho.. Gaser, 4to ti tam menal? sha pisu is Operi
Да ничего не менял уже недели 2. Мож временные файлы почистить?
-
-
Re:DLL Control
Ага, сенкс Олегу за ответ, перехват енумерации процессов (тулхелп функций) через патч физической памяти и кросс-контроль я реализовывал, что меня интересовало, грубо говоря, любой ли процесс можно кильнуть или покопаться в его адресс-спейсе?
-
Visiting Helper
- Вес репутации
- 76
-
-