|
0 Всего найдено: 1
SYSENTER
Сообщение
14/04/2009 16:34
Копия темы
0
Sysinternals Process Explorer PlugIn (crack edition) . Демонстрационные функциональные улучшения для системного монитора Sysinternals Process Explorer 1. Возможность выгрузки динамических библиотек процесса двумя методами: 1.1. Мягкий метод: Контекстное меню панели отображения DLL (“HiEndSoft->Soft Unload”) – попытка выгрузить модуль стандартными средствами Windows; 1.2. Жёсткий метод: Контекстное меню панели отображения DLL (“HiEndSoft->Hard Unload”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи – полное принудительное освобождение секции памяти, занимаемое модулем и последующее принудительное высвобождение виртуальной связанной памяти (помечается аттрибутом Free); Примечание: A). При применении “Hard Unload” возможен случай что информация о наличии DLL останется в PEB – структурах процесса, и она будет продолжать отображаться процесс-менеджерами, но в реальности модуль будет гарантированно выгружен из памяти, в чем можно убедиться программами мониторинга виртуальной памяти процессов (например VMMAP от того же Sysinternals). B). Рекомендуется замораживать или удалять потоки, связанные с выгружаемым модулем, стандартными средствами Process Explorer (лучше убедиться в принадлежности потока какому либо модулю, включив “View All Dll Mode”). C). Данная функциональность будет полезна при выгрузке троянских или рекламных Ad Ware –модулей. 2. Возможность анализа и отображения скрытых т.н. Stealth – модулей процесса, (Главное меню: “Options->View All Dll Mode”). При этом отображаются ВСЕ модули, загруженные в виртуальную память процесса (за исключением модулей, скрытых из режима ядра, но таких я не встречал). Эта опция будет полезна, например для поиска троянских и Ad ware модулей, вирусов и т.д. При включенной данной опции также возможна выгрузка с освобождением памяти не только DLL – модулей (в режиме “Hard Unload”). Опция “View All Dll Mode” включается автоматически при просмотре списка DLL процессов, чьи модули не доступны для отображения в обычной версии Process Explorer (процессы, доступ на чтение виртуальной памяти которых, полностью закрыт из режима ядра; например DrWeb5 и т.д.). При включении опции “View All Dll Mode” потоки скрытого модуля также будут отображаться на вкладке Threads как потоки именно этого модуля, а не как потоки kernel32 или ntdll как было раньше. Опция “View All Dll Mode” не работает полноценно на Windows XP и Windows2000 без установленных SP, на Vista и Windows7 не тестировалось. Примечание: вообще «перекрытие» доступа к VM процессов (обычно это антивирусы и сетевые экраны) – хороший повод внедрить туда троянский код или вирус…. 3. Внедрение любой динамической библиотеки в процесс (Контекстное меню процессов->”Inject DLL”) – без комментариев. 4. Добавлена возможность загрузки и выгрузки драйверов (использовать осторожно, т.к. может привести к неработоспособности системы). 5. Добавлена возможность сканирования PE-образа файла на упаковщик/протектор или линкер сразу двумя методами (меню Dll-> “Scan PE”). 6. Добавлена возможность дампа любого модуля, спроецированного не только как Image,но и как проекция Data, на диск. Что бывает полезно при рипе данных, что в других утилитах я лично не встречал. (меню Dll-> “Dump Full”). 7. Встроена защита Process Explorera от создания в нем удаленных потоков, что может оказаться очень полезно, для получения полной реальной картины о системе (думаю кто надо поймет зачем все это).Убедиться в этом можно только из второй запущенной копии, т.к. сам в себя он инжектить может ). В комплект плагина входит библиотека TEST_HIDE.DLL, для тестирования режима инжекта и обнаружения срытых модулей. Сразу после инжекта в процесс она загружается (о чем выводится уведомление),скрывается (о чем выводится еще одно уведомление) и издает периодические сигналы. в системный динамик ПК. Её и потоки, принадлежащие её виртуальной памяти легко можно обнаружить и выгрузить только в режиме “View All Dll Mode”. В комплект входит тестовый драйвер, выводящий в верхней части экрана хаотично закрашенную цветную полосу. В комплект включена утилита InjectProtector для постоянной защиты сервера подсистемы от создания в нем удаленных потоков. Разработано только в образовательных, ознакомительных, исследовательских и демонстрационных целях, по принципу «как есть». Проверялось на совместимость с Windows XP(все SP) и Windows Server 2003. Все пожелания, ошибки, предложения, информация по тестированию на совместимость с другими ОС, а так же заказы на разработку и «доработку» программного обеспечения и любых систем АСУТП принимаются на E-mail. © 2009 HiEndSoft,Russia E-mail:sysenter@mail.ru ICQ: 439933523 zip, 283.88 Кб |
Выразить восторг, поругаться или предложить что-нибудь можно на форуме |
Для обсуждения этого сервиса так же есть темы на фрилансе по поиску , флудотопу ,и по удалённым сообщениям ,и по Актуальным/популярным темам , и по топу "кто кому больше наотвечал" |