Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2010.08.27;
Скачать: CL | DM;

Вниз

windows deffender и WriteProcessMemory   Найти похожие ветки 

 
istok2   (2009-01-22 01:59) [0]

winDeffender ругается на наличие WriteProcessMemory в моей дллке. какие есть варианты обхода этого случая?


 
Eraser ©   (2009-01-22 04:00) [1]

> [0] istok2   (22.01.09 01:59)

добавить в список исключений дефендера.


 
Eraser ©   (2009-01-22 04:01) [2]

хотя это поможет только для какого-то конкретного предложения.


 
Сергей М. ©   (2009-01-22 09:33) [3]

Смотря в какой ситуации "ругается"


 
istok2   (2009-01-22 11:08) [4]


> Смотря в какой ситуации "ругается"

при ручном сканировании дллки как файла либо при ее копировании на комп и включенном мониторе дефендера

точно выявлено что всё дело в вызове WriteProcessMemory

может если зашифровать дллку аспротектом или экзекриптором - это поможет?


 
istok2   (2009-01-22 11:09) [5]


> добавить в список исключений дефендера.


программно? реально?  если да, то у моего процесса есть админские права..

только получается что это надо делать до появления этого файла на компе...


 
Сергей М. ©   (2009-01-22 11:27) [6]


> istok2   (22.01.09 11:08) [4]


Возможно что Дефендер  сканит модуль на предмет обнаружения явного обращения к этой точке входа по имени.
Тогда достаточно будет исключить эту ситуацию в пользу обращения, например, по ординалу.


 
istok2   (2009-01-22 12:18) [7]


> Сергей М. ©   (22.01.09 11:27) [6]


с помощью Dependancy Walker нашел ординал WriteProcessMemory, в висте он  1185 (0x04A1), в разных версиях ОС разный, но это ладно.

вопрос в том, как теперь осуществлять вызов функции длл по ординалу?

пока в сети не нашел ответа на этот вопрос..


 
Сергей М. ©   (2009-01-22 12:26) [8]

The GetProcAddress function returns the address of the specified exported dynamic-link library (DLL) function.

FARPROC GetProcAddress(

   HMODULE hModule, // handle to DLL module  
   LPCSTR lpProcName  // name of function
  );


Parameters

hModule

Identifies the DLL module that contains the function. The LoadLibrary or GetModuleHandle function returns this handle.

lpProcName

Points to a null-terminated string containing the function name, or specifies the function"s ordinal value. If this parameter is an ordinal value, it must be in the low-order word; the high-order word must be zero.


 
istok2   (2009-01-22 14:46) [9]

оказалось, что достаточно было динамически грузить длл и вызывать ф-цию по имени через GetProcAddress - чтоб дефендер перестал ругаться.

выходит, что статическая загрузка оставляет в длл файле читаемые дефендером следы, а динамическая - нет...


 
Сергей М. ©   (2009-01-22 16:00) [10]

В топку такой дефЕндер.


 
Anatoly Podgoretsky ©   (2009-01-23 11:15) [11]

> Сергей М.  (22.01.2009 16:00:10)  [10]

И программу тоже в топку, плохо пахнет.



Страницы: 1 вся ветка

Текущий архив: 2010.08.27;
Скачать: CL | DM;

Наверх




Память: 0.49 MB
Время: 0.075 c
2-1267648749
@!!ex
2010-03-03 23:39
2010.08.27
TreeView изменить размеры элементов.


3-1238143812
Fisht
2009-03-27 11:50
2010.08.27
фильтрация в TTable


2-1274855695
Rembo
2010-05-26 10:34
2010.08.27
Картинку из файла уменьшить и поместить в tbitmap


11-1216127473
KOLBOSS
2008-07-15 17:11
2010.08.27
DBF + DBF = DBF?


15-1271666858
clickmaker
2010-04-19 12:47
2010.08.27
Upload control для asp.net