Аттач к lsass.exe

Нужно попасть в процесс lsass.exe, дабы иметь возможность выполнять там код и править память.
Какие существуют способы это сделать?

 

грузить дров и делать в них все, что нужно...

 

А что-нибудь менее жесткое?
Службу создать там, или привилегии апнуть?

 

createremotethread

 

ziral2088
А не напомните ли, что нужно сделать, чтобы получить права на открытие процесса?

 

что бы получить описатель системного процесса нужны админские права и еще привилегии отладчика ))
и да CreateRemoteThread на vista\seven не сработает ! ) используйте нейтивную надстройку RtlCreateUserThread

 

чего так?

 

fsd

у меня на висте и севен возвращала ошибка ERROR_NOT_ENOUGH_MEMORY

 

984259h
все сработает, если нужно. Перехватите обращение к csrss и все.

 

ziral2088

тогда да )

 

CreateRemoteThread надо вызывать из сервиса и всё будет работать

 

Можно написать собственню dll, и приаттачить ее ко всем процессам системы через AppInit_DLLs. Потом проверяешь что процесс lsass и делаешь что хочешь. тут http://www.rsdn.ru/article/baseserv/InjectDll.xml обзор

 

AppInit_DLLs работает с lsass? Как-то это слишком здорово, чтобы быть правдой.

Хм... работает, кто бы подумал. На семерке это, конечно, не прокатит, но как вариант... Спасибо.

 

ormoulu
+1

 

на 7 прокатит appcertdlls

 

на семерке можно заинжектить через apc ))) + окно

 

Ага, спасибо.