я тут тулзу наклепал умеет как инжектить дллки в процессы так и винимать их оттуда
потестите плз если кому не лень
http://www.hot.ee/ssxp/DllCtrl.exe
k primeru
usage: DllCtrl.exe -unloadall c:\virus.dll
or
usage: DllCtrl.exe -unload 1234(pid) c:\virus.dll
or
usage: DllCtrl.exe -unload notepad.exe c:\virus.dll -resolve
+ dobavlaja v kontse parametr -force progra budet brat sebe previlegii kotorie pozvolat vigruzat i zagruzat dllki v/is systemih processov ili servisov
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Работает, куда же ей деваться ... классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса FreeLibrary. Но только главная проблема не решается - я для пробы выгрузил AcroIEHelper.dll из IE - в результате IE капитально завис. В этом то и проблема ....Сообщение от Sanja
[quote author=Зайцев Олег link=board=25;threadid=353;start=0#msg2829 date=1102610067]
Работает, куда же ей деваться ... классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса FreeLibrary. Но только главная проблема не решается - я для пробы выгрузил AcroIEHelper.dll из IE - в результате IE капитально завис. В этом то и проблема ....
[/quote]
А представь себе диск NTFS, dll которая стартует в том числе и в защищённом режиме, и защищает свои ключи в реестре. Не выгрузив избавиться от неё невозможно.
Если что-то при выгрузке повиснет, это не страшно. Главное что бы система не повисла.
да я все знаюпросто хотел свое написать
обновил до версии 1.1 пофиксил баг нерабочего -list
Gaser - выложи у себя на форуме а то нехочу у себя держать
А нормальное описание ключей где?
DllCtrl.exe
dalse mozno dllctrl -load i tam budut parametri
Давай уж и исходники сюда, будет неплохой мануал для начинающих инджектеров, имхо =))
Исходники в качестве мануала вероятно не нужны - Рихтер "Windows для профессионалов", глава 22 -"Внедрение DLL и перехват API вызовов", там все примеры примеры есть.
Другое дело, что утилиту стоит доработать, чтобы она умела убивать "неубиваемые" процессы (это уже не трудно) и работать не только по PID процесса, но и по имени EXE. Получится неплохой консольный киллер для процессов и библиотек.
Извиняюсь за ламерский вопрос, а есть ли какие-нибудь жесткие системные ограничения на терминейшн системных же процессов и инджектинг/релиз длл в чужих адресных пространствах?
Есть конечно - тут несколько моментов:
1. Методики внедрения DLL различны для 9x и W-NT (в NT подобных системах плюс еще чудеса с правами (из под админа все работает, но из по обычного юзера многие мотодики могут не сработать);
2. Есть неубиваемые процессы (простейший метод - два процесса и контроль крес-накрест - убиваем один - тут-же второй его перезапускает, или сервис с опцией перезапуска);
3. Руткит, который перехватывает жизненно важные API, в том числе енумерацию процессов и их убиение - в результате можно сделать любые процессы невидимыми и неубиваемыми
po process name umeet ubivat
nashet ubiystva processovest u mena odna razrabotka
kstati 4to to u mena na viruslist 4erez IE perestalo zahodit... visnet nagluho.. Gaser, 4to ti tam menal? sha pisu is Operi
Да ничего не менял уже недели 2. Мож временные файлы почистить?
Ага, сенкс Олегу за ответ, перехват енумерации процессов (тулхелп функций) через патч физической памяти и кросс-контроль я реализовывал, что меня интересовало, грубо говоря, любой ли процесс можно кильнуть или покопаться в его адресс-спейсе?
4erez driver - luboy
Пошел ставить DDK =)
Ваши права в разделе
Ответить с цитированием
