Отследить запуск DLL

← →
Kacnep © (2006-02-28 17:05) [0]

Есть много вопросов в инете по этому поводу. Требуемого ответа не нашли.
Есть такие штуки как Читы - для HalfLifa скажем.
Например CDHACK.
Запускается этот чит потом CS. Именно при запуске hl.exe запускается и тут же закрывается cdhack.dll и каким то образом связывается с процессом svhost.exe.
Хотим написать (для начала) утилиту которая обнаруживает ЛЮБОЙ! запуск ДЛЛки. Поиск в памяти cdhack.dll ни к чему не приводит. Ибо стартуя она тут же закрывается. Как отследить ее запуск?
Приветствуется пример - желательно рабочий. Но будем рады даже советам.
Спасибо.

← →
Kacnep © (2006-02-28 17:29) [1]

От себя могу добавить
Есть фолшебные утилиты от SysInternals типа FileMon - он отслеживает КАКто :( обращение к этой ДЛЛ и отображает ее открытие и закрытие :(.
Хотим получить это событие. Если получим - античитерская приблуда только для СДХАКА готова.
Спасибо.

← →
tesseract © (2006-02-28 18:05) [2]

Это всё по разному происходит. FileMon ксати ставит драйвер-фильтр а не dll.

← →
Kacnep © (2006-03-01 06:55) [3]

интересно как это ФМон ставит драйвер???
Имхо есть АПИшные ф-ии которые позволяют следить за запуском приложений ну или что то подобное...
Главное обнаружить кратковременное обращение к ДЛЛ
Но как?

← →
Сергей М. © (2006-03-01 08:09) [4]

> Kacnep © (01.03.06 06:55) [3]

http://www.microsoft.com/msj/0199/nerd/nerd0199.aspx

← →
DrPass © (2006-03-01 10:24) [5]

Если нет возможности/желания связываться с драйверами режима ядра, то можно попробовать обойтись хуком на CreateProcess и LoadLibrary

← →
Kacnep © (2006-03-01 12:27) [6]

Спасибо всем большое!
Пока попробую покрутить хуки. :))

← →
Kacnep © (2006-03-01 13:37) [7]

Уважаемые мастера и просто прохожие!
Если у кого нить завалялся даже недоработанный пример с хуком на такие ф-ии как LoadLibrary CreateProcess или другме подобные вещи - поделитесь пожалуйста! Добрые вещи сделаете. И не только нам. Еще и людям любящим честно играть.
Хуки посмотрели.. будем ковырять но пока вопрос возник - нужно найти idHook для нашей задачи. Те примеры что приводять- либо для устройств ввода-вывода либо для всяких шпиёнов. То что нашли WH_CALLWNDPROC, WH_CALLWNDPROCRET WH_CBT и еще несколько но пока не те что нам нужны для отслеживания обращения к функциям создания процесса и загрузки длл.
Спасибо.
С хуком связался первый раз :(.

а можно через внедрение Dll в тот процес в котом ты хотишь отслеживать вызов какой-то API-функции и затем уже подменой той фунции на свою либо
через подменой кода , либо через раздел импорта. это все тут описывать очень долго, но это все хорошо написанно в книге (электронном варианте что очень приятно)

Джеффри РИХТЕР

Создание эффективных WIN32-приложений с учетом специфики 64-разрядной версии Windows

вот...

> Kacnep © (01.03.06 13:37) [7]

Интересующий тебя хук-механизм для реализации поставленной задачи при всей казалось бы его изящности и простоте плох хотя бы тем, что образ хук-модуля, будучи автоматически внедряемый во множество приложений, бестолково "загаживает" адресные пространства процессов этих приложений, заведомо не интересующих тебя.

> Kacnep © (01.03.06 13:37) [7]

В то же время, способ [4], будучи сложней в понимании и реализации, действует "адресно" и не "загаживает" адресные пространства никаких процессов.

Отследить запуск DLL Найти похожие ветки