|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
25.01.2014, 16:44 | #1 |
Форумчанин
Регистрация: 24.02.2010
Сообщений: 148
|
Отследить инжект dll в процесс ???
Суть такова, нужно сделать программу отслеживающая инжет в определенный процесс !
Например: Есть процесс, допустим calc.exe, инжектю в него либу (dll). Вопрос: Как отследить что в calc заинжектили чужеродную dll, или как получить, полный список загруженных dll. Пробовал получать список загруженных dll в процесс (в нашем случае calc.exe), результатов не дало, так как показывает неполный список dll (не показало загруженную мной dll), для получения загруженных в calc.exe библиотек, использовал psapi.dll (хотя загрузку psapi.dll показало). Для проверки загружена или нет dll, использовал ProcessExplorer Ниже код с помощью которого я получаю список загруженных dll. Код:
Последний раз редактировалось fucil; 25.01.2014 в 19:39. |
25.01.2014, 18:06 | #2 |
Форумчанин
Регистрация: 24.02.2010
Сообщений: 148
|
Как вариант ?
Как можно запретить инжект dll мой процесс ?
Для порождения процесса использую следующий код: Код:
Последний раз редактировалось fucil; 25.01.2014 в 18:09. |
25.01.2014, 21:50 | #3 |
Старожил
Регистрация: 30.12.2009
Сообщений: 11,426
|
Из user mode вряд ли это не удастся сделать. Драйвер если только...
|
25.01.2014, 22:46 | #4 |
Форумчанин
Регистрация: 24.02.2010
Сообщений: 148
|
Есть ещё варианты ?
Может как то можно запретить инжект в процесс ?
или запустить процесс с какой то защитой от инжекта ? Писать драйвер врятли у меня получится |
25.01.2014, 23:55 | #5 |
Старожил
Регистрация: 30.12.2009
Сообщений: 11,426
|
Нельзя ни запретить, ни защитить без драйвера. Драйвер до полного запуска процесса может многое видеть и делать, очень многое.
Нужно перехватывать ядерный ZwOpenProcess и проверять, чей PID открывается. Если нужного приложения, то возвращать ошибку. Нормально выпалить сие можно только из драйвера) т.к. одним хуком ZwOpenProcess защита не делается) Последний раз редактировалось Человек_Борща; 26.01.2014 в 00:05. |
26.01.2014, 07:12 | #6 |
Регистрация: 26.11.2012
Сообщений: 6
|
Перехватывай LoadLibrary в процессе который хочешь защитить, большенство внедренцев используют именно ее.
Последний раз редактировалось Dik0n; 26.01.2014 в 07:15. |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Загрузить библиотеку в внешний процесс - только инжект? | calypso | Win Api | 15 | 27.02.2013 17:37 |
AppInit_DLLs и инжект в определенный процесс | nls | Win Api | 2 | 01.02.2013 09:17 |
Инжект dll в игру | artbotva | Win Api | 10 | 14.08.2012 11:24 |
отследить процесс в диспетчере задач | L.A.M.E.R. | Win Api | 3 | 27.07.2012 00:38 |
dll в процесс | artbotva | Общие вопросы Delphi | 4 | 03.06.2012 10:54 |