Какие вы знаете еще способы кроме HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs ????
BlackWolf123 Вышеназванный способ годится только для тех процессов, которые грузят User32.dll Вот еще некоторые способы: http://www.codeproject.com/KB/threads/winspy.aspx Если нужно инжектиться не только в существующие процессы но и в создаваемые, то придется хукать NtCreateProcess.
> Какие вы знаете еще способы кроме HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs ???? Заинфектить одну из длл-ок, подгружаемых во все процессы.
CreateRemoteThread... например, читай Рихтера Виндовс для профессионалов))))) глава 22... http://wm-help.net/books-online/book/59464.html
Запустить драйвер, который похучит нужный сервис в ядре и при NtCreateProcess подгрузит в процесс нужную длл
Блин а почему когда я загружаю ДЛЛ с пмошью реестра AppInit_DLLs то у меня процессы который грузят мою длл выдают ошибку --- инструкция по адресу "0x7c918fea" обратилась к памяти по адресу "0x00000010". А когда я загружаю свою ДЛЛ через LoadLibrary то все ОК! в чем проблема ?
Это будет очень даже не просто. Ещё нужно поток создать.Без "хэкерского" изврата, ассемблерных вставок и прочего не обойдется. Что делает твоя длл? Что у неё в импорте?
