eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Фимка и скрытые модули
Посл.ответ Сообщение

Ранг: 575.6 (!)
Статус: Модератор

Создано: 26 октября 2016 19:52 · Поправил: 26 октября 2016 19:53 r_e New!
Цитата · Личное сообщение · #1

Вобщем, есть софт 64 бита, на софте фимка.
Я могу проинжектится и делать свои дела изнутри, но... похоже что протектор зеркалит модули и что-то проверяет.
Если кто знаком с внутренонстями фимы может расскажете что она делает с зеркальными модулями? Дубликаты видно через ProcessExplorer но не видно через EnumProcessModules. Nt/ZwQuerySystemInformation не работает с Access Violation. Не вдавался в подробности почему.
Есть еще способы пройтись по модулям процесса с учетом того что я уже нахожусь внутри процесса?

Вопрос №2. Включена опция анти-аттач. Пробовал ScyllaHide с идой - не помогает Anti-Kill. Есть какой проверенный отладчик+плаг, которым можно зацепиться было бы?


Ранг: 316.1 (мудрец)
Статус: Участник

Создано: 26 октября 2016 19:54 New!
Цитата · Личное сообщение · #2

r_e

> Nt/ZwQuerySystemInformation не работает с Access Violation.

Вам нужен наверно NtAreMappedFilesTheSame, этот сервис проверяет что две проекции соответствуют одному файлу.

Ранг: 575.6 (!)
Статус: Модератор

Создано: 26 октября 2016 21:10 New!
Цитата · Личное сообщение · #3

difexacaw
Мне нужно вообще найти базы модулей в адресном пространстве процесса (перечислить модули) и получить их имена. Мне не нужно их сравнивать.

Ранг: 92.3 (постоянный)
Статус: Участник

Создано: 26 октября 2016 22:13 New!
Цитата · Личное сообщение · #4

А случаем в PEB_LDR_DATA их нет?


Ранг: 316.1 (мудрец)
Статус: Участник

Создано: 26 октября 2016 22:46 New!
Цитата · Личное сообщение · #5

r_e

Так наверно нужно не модуля перечислить, а image-проекции. Так как EnumProcessModules() их не находит. Поэтому нужно перечислить регионы ап(по 64K) и получить инфу по проекции, это проверить что она связана с целевым файлом, который загружен как модуль. Это делает сервис выше или можно получить имя файла(MemoryMappedFilenameInformation), но имя будет в нт-формате(\device\harddiskvolume\), его нужно в человеческий вид конвертить.

Ранг: 35.3 (посетитель)
Статус: Участник

Создано: 27 октября 2016 10:58 New!
Цитата · Личное сообщение · #6

anti-kill в сцилле не всё знает, известный баг, проверить можно что же конкретно защита испоганила в ntdll по адресам DbgUiRemoteBreakin, DbgUiIssueRemoteBreakin. В случае сомнений можно чекнуть все изменения что есть у процесса утилитой наподобие pchunter с epoolsoft.com

| Сообщение посчитали полезным: r_e



Ранг: 316.1 (мудрец)
Статус: Участник

Создано: 27 октября 2016 15:00 New!
Цитата · Личное сообщение · #7

Откопал вам древний кодес.

{ Атач доступен только для участников форума } - Map.rar

| Сообщение посчитали полезным: r_e


Ранг: 575.6 (!)
Статус: Модератор

Создано: 27 октября 2016 16:19 New!
Цитата · Личное сообщение · #8

neprovad
То что доктор прописал. Спасибо!

| Сообщение посчитали полезным: neprovad

 eXeL@B —› Протекторы —› Фимка и скрытые модули
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS