با سلام.
می خواستم بدونم چه شکلی میشه فهمید که روی یک پردازش عمل Injection انجام شده است یا نه؟ ، و این که چه شکلی این کار را غیر فعال کنیم.
با تشکر.
با هوک کردن میشه توابع لود dll رو هوک یا غیر فعال کرد
میشه با چک کردن لیست dll های لود شده و ادرسشون(با استفاده از توابع api)این رو متوجه شد
اگه قبل از اینجکت می خوای به صورت RealTime متوجه بشی تو ring3 بهتره تابع CreateRemoteThread رو هوک کنی اما اگه بعد از اینجکت رو میخوای چک کنی یه سورس واسه این کار هست که اگه اشتباه نکنم تو قسمت از سورس کسپراسکی و در قسمت AVZ با دلفی نوشته بودن
تو نت سرچ کنی سورس کسپراسکی راحت پیدا میشه.
واسه غیر فعال کردنش هم میتونی از هوک کردن هعمون تابع استفاده کنی.
پیوست: اگه این تاپیک یه خرده قدیمی رو بالا اوردم شرمندم آخه این روزها سرم شلوغه خیلی کم میتونم به سایت سر بزنم
سلام
نم تو یسری فیلمها دیدم از CreateRemoteThread استفاده میکنند
کار این تابع چیه دقیقا ؟ از روی فایل اصلی یه thread درست میکنه ؟ یا کار دیگه ای انجام میده ؟
(۲۶-اردیبهشت-۱۳۹۱, ۰۰:۴۳:۵۱)babyy نوشته است: [ -> ]سلام
نم تو یسری فیلمها دیدم از CreateRemoteThread استفاده میکنند
کار این تابع چیه دقیقا ؟ از روی فایل اصلی یه thread درست میکنه ؟ یا کار دیگه ای انجام میده ؟
یک ترد در پروسه مورد نظر ایجاد میکنه یک تکه کد که در اون پروسه باید باشه رو میتونین برای اجرا به عنوان پارامتر به اون ترد ارسال کنید
(۲۶-اردیبهشت-۱۳۹۱, ۰۹:۲۰:۳۸)lord_viper نوشته است: [ -> ]یک ترد در پروسه مورد نظر ایجاد میکنه یک تکه کد که در اون پروسه باید باشه رو میتونین برای اجرا به عنوان پارامتر به اون ترد ارسال کنید
مگه هرگونه دسترسی به حافظه ای که برنامه توش اجرا شده ؛ توسط سیستم عامل موجب بسته شدن اون پروسه نمیشه ؟!؟!
(۲۶-اردیبهشت-۱۳۹۱, ۲۳:۲۹:۱۵)babyy نوشته است: [ -> ] (۲۶-اردیبهشت-۱۳۹۱, ۰۹:۲۰:۳۸)lord_viper نوشته است: [ -> ]یک ترد در پروسه مورد نظر ایجاد میکنه یک تکه کد که در اون پروسه باید باشه رو میتونین برای اجرا به عنوان پارامتر به اون ترد ارسال کنید
مگه هرگونه دسترسی به حافظه ای که برنامه توش اجرا شده ؛ توسط سیستم عامل موجب بسته شدن اون پروسه نمیشه ؟!؟!
خیر
برای پروسه های سیستمی هم میتونین نوع Access تونو Debuge privilage کنین