Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Начинающим";
Текущий архив: 2007.03.04;
Скачать: [xml.tar.bz2];

Вниз

Импорт функций из Kernel32.   Найти похожие ветки 

 
Riply ©   (2007-02-12 11:54) [0]

Здравствуйте !
При импорте функций из Kernel32 использовала GetModuleHandle(Kernel32),
но обратила внимание на то, что в списке загруженных модулей у smss.exe нет Kernel32.
Получается, что если я "подгружаю" свою DLL к процессу (допустим через App_InitDlls),
не является фактом то, что на момент "подгрузки" Kernel32 уже загружена
в целевом процессе ? Да и вообще процесс может работать и без Kernel32.
Т.е., в общем случае, для Kernel32 надо использовать LoadLibrary, а не GetModuleHandle?


 
Игорь Шевченко ©   (2007-02-12 11:56) [1]


> но обратила внимание на то, что в списке загруженных модулей
> у smss.exe нет Kernel32.


Конечно нету. Потому что не нужно


> Получается, что если я "подгружаю" свою DLL к процессу (допустим
> через App_InitDlls),
> не является фактом то, что на момент "подгрузки" Kernel32
> уже загружена


Является.

К smss ты через AppInit не подгрузишься, так как сура 15 Корана гласит, что через AppInit DLL загружается только в адресное пространство Win32-процессов, коим SMSS не является


 
Riply ©   (2007-02-12 12:14) [2]

>[1] Игорь Шевченко ©   (12.02.07 11:56)
:)
Спасибо.
А что гласит "сура 15 Корана" о попытке подгрузиться к процессу, подобному SMSS,
используя WriteProcessMemory (как у Рихтера) ?


 
Игорь Шевченко ©   (2007-02-12 12:18) [3]

Riply ©   (12.02.07 12:14) [2]

Как у Рихтера не получится, такие процессы ничего не знают про LoadLibrary и загружать в их адресное простанство kernel32 вряд ли считается полезным занятием.

Да и зачем, собственно, лезть в smss через анус, когда у него (у SMSS) есть вполне себе описанный интерфейс для взаимодействия через SmApiPort


 
Riply ©   (2007-02-12 12:23) [4]

> [3] Игорь Шевченко ©   (12.02.07 12:18)
>Да и зачем, собственно, лезть в smss через анус
Да я именно в него и не собиралась лезть.
Просто получается, что перед "подгрузкой по Рихтеру" надо смотреть
а что там за процесс, куда мы собрались залезть :)
Только непонятно как смотреть :(


 
fd979 ©   (2007-02-12 12:26) [5]

Люди не надо про Коран, пожалуйста - нельзя так


 
Игорь Шевченко ©   (2007-02-12 12:28) [6]

Riply ©   (12.02.07 12:23) [4]


> Просто получается, что перед "подгрузкой по Рихтеру" надо
> смотреть
> а что там за процесс, куда мы собрались залезть :)


Вообще-то да, желательно


> Только непонятно как смотреть :(


А чего непонятного - находишь EXEшник от процесса, читаешь его NtHeaders, смотришь Subsystem, если native - бежишь, как черт от святого причастия.


 
Riply ©   (2007-02-12 12:39) [7]

> [6] Игорь Шевченко ©   (12.02.07 12:28)
Спасибо.
P.S. Так приятно, когда все становиться на свои места !


 
Игорь Шевченко ©   (2007-02-12 12:41) [8]

Riply ©   (12.02.07 12:39) [7]

Ты открой секрет - что за вирус-то будет ? А то давеча наткнулся тут на один, через AppInitDll работающий.


 
zdm ©   (2007-02-12 12:44) [9]

Удалено модератором


 
Riply ©   (2007-02-12 12:58) [10]

>[9] zdm ©   (12.02.07 12:44)
>Riply, ник взят из фильма "чужой"?
Нет. Просто созвучен.
>то ты хард не знаешь как выбрать
К моему сожалению, все знать невозможно :(
>[8] Игорь Шевченко ©   (12.02.07 12:41)
>Ты открой секрет - что за вирус-то будет ? А то давеча наткнулся тут на один, через AppInitDll работающий.
:)
Вирусу загружаться через AppInitDll - "полный отстой. Крутые Прогеры так не грузяться". :)
Слишком легко вычисляется. А вот через ShellExt (если правильно написала) - это да ! :)
P.S. В догонку.
А какие еще DLL-ки обладают этим замечательным свойством "всегда загруженности" ?


 
zdm ©   (2007-02-12 14:00) [11]

Удалено модератором


 
Игорь Шевченко ©   (2007-02-12 14:03) [12]


> А какие еще DLL-ки обладают этим замечательным свойством
> "всегда загруженности" ?


Все, перечисленные в KnownDlls


 
zdm ©   (2007-02-12 14:04) [13]

Удалено модератором


 
Riply ©   (2007-02-12 16:32) [14]

> [12] Игорь Шевченко ©   (12.02.07 14:03)
>перечисленные в KnownDlls
Имеется ввиду реестр (уж очень много их там :) или
Dll-ки, для имен которых в Windows.pas объявлены константы ?


 
Игорь Шевченко ©   (2007-02-12 16:36) [15]

Riply ©   (12.02.07 16:32) [14]


> Имеется ввиду реестр (уж очень много их там :) или
> Dll-ки, для имен которых в Windows.pas объявлены константы
> ?


А собственно говоря, в чем твой вопрос-то ?


> А какие еще DLL-ки обладают этим замечательным свойством
> "всегда загруженности" ?


Куда загруженные, зачем загруженные ? Всегда во всех процессах загружена ntdll.dll - без нее процесс просто не заработает



Страницы: 1 вся ветка

Форум: "Начинающим";
Текущий архив: 2007.03.04;
Скачать: [xml.tar.bz2];

Наверх





Память: 0.48 MB
Время: 0.035 c
1-1168438293
tol
2007-01-10 17:11
2007.03.04
Сотрировка страниц для печати


15-1171202518
Kerk
2007-02-11 17:01
2007.03.04
25й час


15-1171273167
vasIZmax
2007-02-12 12:39
2007.03.04
Save.... Good


15-1170941831
ZeroDivide
2007-02-08 16:37
2007.03.04
Сайт www.nvidia.com лежит вторые сутки


15-1171001483
vajo
2007-02-09 09:11
2007.03.04
Подскажите хороший файлообменник.





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский