[WinXP] ws2_32.dll -> подмена системной .dll (Отслеживание)

так а это.. а не проще ли при установке этой вашей анитихеккерской тулзы брать и црц и размер вс2_32, пологая, что на момент пробы оно родное и непропатченное?

 

чем черевато если сделают как я предложил выше?

 

Flint_ta
не я с ней борюсь %)

 

Flint_ta
Обычны юзвер будет на своей системе подменять системную либу анальными путями?)))
Или к примеру прокси заточек под ХР х86, а что будет на вин7 х64?

 

d2k9
иногда лучше жевать чем говорить

 

megaaa
если нечего сказать лучше промолчать

 

Стоп, если я правильно понял ТС, то подменяет ws2_32.dll не обычный юзер, а зловред 1.exe

дык это проверить можно

 

Ессно, проверьте
Тока бэкап system32 сделайте и загрузчик какой-нить досовский или линуксовский с фаром и поддержкой нтфс.
И вообще ето были просто варианты: основной ведь был помечен с комментом в скобочках - №4.
Его никак не обойти с текущем уровнем ТС/зловреда подменяющего системную либу, бггг.

 

ясно, у вас нет от ответа на вопрос "чем это черевато?".

 

Есть - подменяя 64 битную версию 32 битной версией вызовите бсод системы. Ах да, возможно вы вообще не сумеете подменить обычным путём...

 

Flint_ta

Мало того: предложенный "не чреватый" вариант — чушь, т.к. ws2_32.dll входит в KnownDLLs и соответственно не будет подхватываться из папки экзешником.

 

l_inc
Нет входит на XP и не исключён(ExcludeFromKnownDlls).

 

Clerk
На вин7 у мя входит в известные - соотв. свою не подсунешь в папке с прогой.

 

Это дураку понятно ) Никто так тупо без проверки и делать бы не стал.

sfc_os.dll функция по ординалу 5 в помощь )

 

Clerk
Я так понимаю, имелось в виду "Не входит ..." . Не знал... давно не работал с XP уже. Спасибо за инфо. А какое имеет значение, что она не входит в ExcludeFromKnownDlls, если её в XP в KnownDLLs всё равно нет?

 

64разрядная ws2_32, ну да... ну да...

 

l_inc

Так просто уточнил.
d2k9

А если попытаться.. дескриптор безопасности подправить, запретив доступ к этой секции. Тогда будет с диска грузиться глобально

 

Ребята, в общем программа использует вот этот механизм: Create your Proxy DLLs automatically;
- То есть, как я и говорил, экспортируются все функции из оригинальной .dll, затем подменная .dll заменят оригинальную(предварительно программа входит в debug mode системы), и обрабатываются только две функции: recv() и send();

 

все системные библиотеки имеют цифровую подпись

 

Каким образом можно проверить цифровую подпись?