Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Начинающим";
Текущий архив: 2007.03.04;
Скачать: [xml.tar.bz2];

Вниз

Импорт функций из Kernel32.   Найти похожие ветки 

 
Riply ©   (2007-02-12 11:54) [0]

Здравствуйте !
При импорте функций из Kernel32 использовала GetModuleHandle(Kernel32),
но обратила внимание на то, что в списке загруженных модулей у smss.exe нет Kernel32.
Получается, что если я "подгружаю" свою DLL к процессу (допустим через App_InitDlls),
не является фактом то, что на момент "подгрузки" Kernel32 уже загружена
в целевом процессе ? Да и вообще процесс может работать и без Kernel32.
Т.е., в общем случае, для Kernel32 надо использовать LoadLibrary, а не GetModuleHandle?


 
Игорь Шевченко ©   (2007-02-12 11:56) [1]


> но обратила внимание на то, что в списке загруженных модулей
> у smss.exe нет Kernel32.


Конечно нету. Потому что не нужно


> Получается, что если я "подгружаю" свою DLL к процессу (допустим
> через App_InitDlls),
> не является фактом то, что на момент "подгрузки" Kernel32
> уже загружена


Является.

К smss ты через AppInit не подгрузишься, так как сура 15 Корана гласит, что через AppInit DLL загружается только в адресное пространство Win32-процессов, коим SMSS не является


 
Riply ©   (2007-02-12 12:14) [2]

>[1] Игорь Шевченко ©   (12.02.07 11:56)
:)
Спасибо.
А что гласит "сура 15 Корана" о попытке подгрузиться к процессу, подобному SMSS,
используя WriteProcessMemory (как у Рихтера) ?


 
Игорь Шевченко ©   (2007-02-12 12:18) [3]

Riply ©   (12.02.07 12:14) [2]

Как у Рихтера не получится, такие процессы ничего не знают про LoadLibrary и загружать в их адресное простанство kernel32 вряд ли считается полезным занятием.

Да и зачем, собственно, лезть в smss через анус, когда у него (у SMSS) есть вполне себе описанный интерфейс для взаимодействия через SmApiPort


 
Riply ©   (2007-02-12 12:23) [4]

> [3] Игорь Шевченко ©   (12.02.07 12:18)
>Да и зачем, собственно, лезть в smss через анус
Да я именно в него и не собиралась лезть.
Просто получается, что перед "подгрузкой по Рихтеру" надо смотреть
а что там за процесс, куда мы собрались залезть :)
Только непонятно как смотреть :(


 
fd979 ©   (2007-02-12 12:26) [5]

Люди не надо про Коран, пожалуйста - нельзя так


 
Игорь Шевченко ©   (2007-02-12 12:28) [6]

Riply ©   (12.02.07 12:23) [4]


> Просто получается, что перед "подгрузкой по Рихтеру" надо
> смотреть
> а что там за процесс, куда мы собрались залезть :)


Вообще-то да, желательно


> Только непонятно как смотреть :(


А чего непонятного - находишь EXEшник от процесса, читаешь его NtHeaders, смотришь Subsystem, если native - бежишь, как черт от святого причастия.


 
Riply ©   (2007-02-12 12:39) [7]

> [6] Игорь Шевченко ©   (12.02.07 12:28)
Спасибо.
P.S. Так приятно, когда все становиться на свои места !


 
Игорь Шевченко ©   (2007-02-12 12:41) [8]

Riply ©   (12.02.07 12:39) [7]

Ты открой секрет - что за вирус-то будет ? А то давеча наткнулся тут на один, через AppInitDll работающий.


 
zdm ©   (2007-02-12 12:44) [9]

Удалено модератором


 
Riply ©   (2007-02-12 12:58) [10]

>[9] zdm ©   (12.02.07 12:44)
>Riply, ник взят из фильма "чужой"?
Нет. Просто созвучен.
>то ты хард не знаешь как выбрать
К моему сожалению, все знать невозможно :(
>[8] Игорь Шевченко ©   (12.02.07 12:41)
>Ты открой секрет - что за вирус-то будет ? А то давеча наткнулся тут на один, через AppInitDll работающий.
:)
Вирусу загружаться через AppInitDll - "полный отстой. Крутые Прогеры так не грузяться". :)
Слишком легко вычисляется. А вот через ShellExt (если правильно написала) - это да ! :)
P.S. В догонку.
А какие еще DLL-ки обладают этим замечательным свойством "всегда загруженности" ?


 
zdm ©   (2007-02-12 14:00) [11]

Удалено модератором


 
Игорь Шевченко ©   (2007-02-12 14:03) [12]


> А какие еще DLL-ки обладают этим замечательным свойством
> "всегда загруженности" ?


Все, перечисленные в KnownDlls


 
zdm ©   (2007-02-12 14:04) [13]

Удалено модератором


 
Riply ©   (2007-02-12 16:32) [14]

> [12] Игорь Шевченко ©   (12.02.07 14:03)
>перечисленные в KnownDlls
Имеется ввиду реестр (уж очень много их там :) или
Dll-ки, для имен которых в Windows.pas объявлены константы ?


 
Игорь Шевченко ©   (2007-02-12 16:36) [15]

Riply ©   (12.02.07 16:32) [14]


> Имеется ввиду реестр (уж очень много их там :) или
> Dll-ки, для имен которых в Windows.pas объявлены константы
> ?


А собственно говоря, в чем твой вопрос-то ?


> А какие еще DLL-ки обладают этим замечательным свойством
> "всегда загруженности" ?


Куда загруженные, зачем загруженные ? Всегда во всех процессах загружена ntdll.dll - без нее процесс просто не заработает



Страницы: 1 вся ветка

Форум: "Начинающим";
Текущий архив: 2007.03.04;
Скачать: [xml.tar.bz2];

Наверх





Память: 0.48 MB
Время: 0.053 c
2-1171449625
Vlad Oshin
2007-02-14 13:40
2007.03.04
А есть какие то способы отладки CGI приложений? Какие?


15-1169472353
oldman
2007-01-22 16:25
2007.03.04
Гуд бай, Америка, о-о-о...


15-1170817081
SerJaNT
2007-02-07 05:58
2007.03.04
Вот, рюмку нарисовал..


15-1171147673
homm
2007-02-11 01:47
2007.03.04
SATA и иконка в трее


15-1170839769
alien1769
2007-02-07 12:16
2007.03.04
1C Сервер ТТХ





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский