выгрузка dll из чужого процесса

Тема в разделе "WASM.BEGINNERS", создана пользователем SiruS, 26 сен 2008.

  1. SiruS

    SiruS Алекс

    Публикаций:
    0
    Регистрация:
    19 фев 2005
    Сообщения:
    145
    Адрес:
    Львов
    сижу мучаюсь, обычным FreeLibrary тут не справиться ввиду ограничений на использование только в текущем процессе.
    знаю что можно выгружать через CreateRemoteThread, но не знаю всей последовательности действий. могу надеяться на пинок в нужную сторону? )
     
  2. slow

    slow New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2004
    Сообщения:
    615
    Учимся пользоваться гуглом
    http://www.google.ru/search?q=createremotethread+unload+dll&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a

    среди первых же ссылок
    http://www.codeproject.com/KB/threads/winspy.aspx
     
  3. SiruS

    SiruS Алекс

    Публикаций:
    0
    Регистрация:
    19 фев 2005
    Сообщения:
    145
    Адрес:
    Львов
    пасибо, помогло. надо еще пнуть немного, а то неполучаеться чтото (

    вот это возвращает NULL:
    Код (Text):
    1. struct MODULEENTRY32
    2.     dwSize          dd ?
    3.     th32ModuleID    dd ?
    4.     th32ProcessID   dd ?
    5.     GlblcntUsage    dd ?
    6.     ProccntUsage    dd ?
    7.     modBaseAddr     dd ?
    8.     modBaseSize     dd ?
    9.     hModule         dd ?
    10.     szModule        rb MAX_PATH
    11.     szExePath       rb MAX_PATH
    12. ends
    13. uModule   MODULEENTRY32    
    14. ...
    15. invoke CreateRemoteThread,[uModule.th32ProcessID],0,0,[kernel32_FreeLibrary],[uModule.modBaseAddr],0,[dwRemoteThread]
    в чем загвозка?
     
  4. SiruS

    SiruS Алекс

    Публикаций:
    0
    Регистрация:
    19 фев 2005
    Сообщения:
    145
    Адрес:
    Львов
    мля, я валянок, но уже разобрался. я напартачил с uModule.th32ProcessID. это же не тот хендл что был взят после OpenProcess...
     
  5. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    SiruS
    пробдема интересна :)
    делай собственную загрузку и выгрузку(свой унлоад и лоад)
    и ты уверен что это проггодитьсс?
    LoadLibraryEx достаточна сильна для разных выкрутасов
    Hi
     
  6. SiruS

    SiruS Алекс

    Публикаций:
    0
    Регистрация:
    19 фев 2005
    Сообщения:
    145
    Адрес:
    Львов
    дело в том, что это не моя дллка висит в памяти процесов. это троянец, который непалиться антивирусами. по некоторым причинам нехочу чтобы он и дальше палился чем-либо.
    новая проблема: а как выгрузить дллку из винлогона? а то шото неудаеться....
    есть подозрение, что надо что то делать с привелегиями, вот ток незнаю как (
     
  7. censored

    censored New Member

    Публикаций:
    0
    Регистрация:
    5 июл 2005
    Сообщения:
    1.615
    Адрес:
    деревня "Анонимные Прокси"
    SiruS
    гори в аду, жидокодер!
     
  8. SiruS

    SiruS Алекс

    Публикаций:
    0
    Регистрация:
    19 фев 2005
    Сообщения:
    145
    Адрес:
    Львов
    censored, [censored]!

    у кого то есть идеи еще?
    з.ы. просьба не уподобляться censored'y...
     
  9. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    SiruS
    зря ты так на него
    есть вутка COMMERCE
     
  10. SiruS

    SiruS Алекс

    Публикаций:
    0
    Регистрация:
    19 фев 2005
    Сообщения:
    145
    Адрес:
    Львов
    с привилегиями разобрался. вот токо при попытке выгрузки той чертовой дллки из винлогона - система падает синим экраном ( да и все ЕХЕхи выпадают чето с ошибками (
    wsd, пасиба, гляну на досуге.
    з.ы. лечить я его не буду - не доктор.
     
  11. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    SiruS
    новый бсдогенератор
    наврное её ещё кто-то хочет поиметь а маньки то уже нет
     
  12. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    SiruS
    Вероятно, dll ставит перехваты, а обработчики держит у себя в теле. Отсюда и падение процесса после выгрузки dll.
     
  13. SiruS

    SiruS Алекс

    Публикаций:
    0
    Регистрация:
    19 фев 2005
    Сообщения:
    145
    Адрес:
    Львов
    l_inc
    помоему так и есть. есть инфа о том, что эта дллка ставит хуки на несколько ключей реестра, чтобы скрыть себя от штатных средств в автозагрузке. а эти хуки реально поснимать? порядок действий хотя бы...
    спасибо!
     
  14. slow

    slow New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2004
    Сообщения:
    615
    поснимать хуки реально.. поиск по форуму
     
  15. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    slow
    ны Вы путника предупредите заранее,что есть системы самовостановления хуков
    и это может вылется в приличное время ;))))
     
  16. SiruS

    SiruS Алекс

    Публикаций:
    0
    Регистрация:
    19 фев 2005
    Сообщения:
    145
    Адрес:
    Львов
    спасибо!! вечером гляну, а сча иду трудиться (
     
  17. slow

    slow New Member

    Публикаций:
    0
    Регистрация:
    27 дек 2004
    Сообщения:
    615
    ну да))
     
  18. 2FED

    2FED New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2008
    Сообщения:
    1.002
    Может быть проблемма в том что по FreeLibrary управление возвращается невалидной памяти? Стоит попробовать FreeLibraryAndExitThread
     
  19. SiruS

    SiruS Алекс

    Публикаций:
    0
    Регистрация:
    19 фев 2005
    Сообщения:
    145
    Адрес:
    Львов
    поиск по форуму не дал желаемых результатов. подскажите хотя бы порядок, что за чем делать Оо
     
  20. 2FED

    2FED New Member

    Публикаций:
    0
    Регистрация:
    20 фев 2008
    Сообщения:
    1.002
    http://www.wasm.ru/forum/viewtopic.php?id=28482