я тут тулзу наклепал умеет как инжектить дллки в процессы так и винимать их оттуда

потестите плз если кому не лень

http://www.hot.ee/ssxp/DllCtrl.exe

k primeru

usage: DllCtrl.exe -unloadall c:\virus.dll

or

usage: DllCtrl.exe -unload 1234(pid) c:\virus.dll

or

usage: DllCtrl.exe -unload notepad.exe c:\virus.dll -resolve

+ dobavlaja v kontse parametr -force progra budet brat sebe previlegii kotorie pozvolat vigruzat i zagruzat dllki v/is systemih processov ili servisov

я тут тулзу наклепал умеет как инжектить дллки в процессы так и винимать их оттуда

потестите плз если кому не лень


Работает, куда же ей деваться ... классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса FreeLibrary. Но только главная проблема не решается - я для пробы выгрузил AcroIEHelper.dll из IE - в результате IE капитально завис. В этом то и проблема ....

Работает, куда же ей деваться ... классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса FreeLibrary. Но только главная проблема не решается - я для пробы выгрузил AcroIEHelper.dll из IE - в результате IE капитально завис. В этом то и проблема ....

А представь себе диск NTFS, dll которая стартует в том числе и в защищённом режиме, и защищает свои ключи в реестре. Не выгрузив избавиться от неё невозможно.
Если что-то при выгрузке повиснет, это не страшно. Главное что бы система не повисла.

да я все знаю :) просто хотел свое написать :)

обновил до версии 1.1 пофиксил баг нерабочего -list

Gaser - выложи у себя на форуме а то нехочу у себя держать

обновил до версии 1.1 пофиксил баг нерабочего -list

Gaser - выложи у себя на форуме а то нехочу у себя держать

А нормальное описание ключей где?:)

DllCtrl.exe :) bez parametrov ;)

dalse mozno dllctrl -load i tam budut parametri

Давай уж и исходники сюда, будет неплохой мануал для начинающих инджектеров, имхо =))

Давай уж и исходники сюда, будет неплохой мануал для начинающих инджектеров, имхо =))

Исходники в качестве мануала вероятно не нужны - Рихтер "Windows для профессионалов", глава 22 -"Внедрение DLL и перехват API вызовов", там все примеры примеры есть.
Другое дело, что утилиту стоит доработать, чтобы она умела убивать "неубиваемые" процессы (это уже не трудно) и работать не только по PID процесса, но и по имени EXE. Получится неплохой консольный киллер для процессов и библиотек.

Извиняюсь за ламерский вопрос, а есть ли какие-нибудь жесткие системные ограничения на терминейшн системных же процессов и инджектинг/релиз длл в чужих адресных пространствах?

Извиняюсь за ламерский вопрос, а есть ли какие-нибудь жесткие системные ограничения на терминейшн системных же процессов и инджектинг/релиз длл в чужих адресных пространствах?

Есть конечно - тут несколько моментов:
1. Методики внедрения DLL различны для 9x и W-NT (в NT подобных системах плюс еще чудеса с правами (из под админа все работает, но из по обычного юзера многие мотодики могут не сработать);
2. Есть неубиваемые процессы (простейший метод - два процесса и контроль крес-накрест - убиваем один - тут-же второй его перезапускает, или сервис с опцией перезапуска);
3. Руткит, который перехватывает жизненно важные API, в том числе енумерацию процессов и их убиение - в результате можно сделать любые процессы невидимыми и неубиваемыми

po process name umeet ubivat :) nado prosto vmesto pida napisat process name a v kontse dobavit parametr -resolve :)

nashet ubiystva processov ;) est u mena odna razrabotka ;) hot code i ne moy no ishodnik u mena imeetsa (razdavat nemogu) pokazivat spisok processov is pod kernela i windi sravnivaet i pome4aet rootkiti :) esli tuda dobavit ubystvo processov is pod drivera :) delaetsa ne trudno no ja s native API i razrabotkoy driverov neznakom :) KeAttachProcess / NtTerminateProcess / KeDetachProcess i budet mega terminator ;)

kstati 4to to u mena na viruslist 4erez IE perestalo zahodit... visnet nagluho.. Gaser, 4to ti tam menal? sha pisu is Operi

kstati 4to to u mena na viruslist 4erez IE perestalo zahodit... visnet nagluho.. Gaser, 4to ti tam menal? sha pisu is Operi

Да ничего не менял уже недели 2. Мож временные файлы почистить?

Ага, сенкс Олегу за ответ, перехват енумерации процессов (тулхелп функций) через патч физической памяти и кросс-контроль я реализовывал, что меня интересовало, грубо говоря, любой ли процесс можно кильнуть или покопаться в его адресс-спейсе?

4erez driver - luboy

Пошел ставить DDK =)