svchost + LoadLibrary

В общем проблема след.
Создаю процесс svchost (саспенд) подгружаю либу потом (резюме).
Когда в либе пытаюсь создать поток процесс завершается ? Заметил что именно это происходит с процессом svchost.

 

отладчиком работай...

 

Rel
я думал может уже что то сталкивался ))

 

мб т.к. сервис?

 

Негодно. Детект.

 

Почему негодно?

 

как минимум родитель "не обычный", т.е. не services.exe

 

Данное высказывание относится к определению проективками. А просто запустить на машине без АВ можно от имени любого процесса.
сам svchost ничего не скажет на это.

как вариант копать на тему регистрации dll как это сделанно например в kido

p.s попробуй внедрить в любое другое приложение. Если валится будет так же то тут дело не в svchost.
Например на rundll32.exe проверить

 

dreamse
Делал этот инжект на другие процессы к примеру в iexplore работает на ура с lsass тоже работает а svchost не хочет

 

dreamse

если почитать внимательней ветку - то можно понять для чего было сказаное мной.

 

ASMatic

какое есть решение этого ?

 

в DllMain просто этого не делай при апк DLL_PROCESS_ATTACH, рихтера прочитай

 

не запускать процессы которые под монитором )

 

ASMatic
под каким монитором ? (если Вы имели ввиду проактивки и прочее ... то в данном случае АВ не установлены )

 

984259h
Так я и не говорил что у вас не работает изза ав, прост инде подчеркнул что негодно, т.к. будет палится.
а почему не работает - в п2 вам сказали что делать)

 

Скорее всего не робит из за фазы луны, импорта етц. Да и кода там три строки.

 

kejcerfcrv

оригинально...

 

984259h
Оригинально тут http://wasm.ru/forum/viewtopic.php?pid=436253#p436253