| |
| |
|
 | So - auf gehts...
Als erstes erzeugen wir mal ein Verzeichnis C:TEMP und kopieren Frank Abbings ProSpeed.dll da hinein. Warum gerade C:TEMP? Das ist eigentlich egal, der Verzeichnisname sollte aber möglichst kurz sein. Nun starten wir WordPad, und danach TNT (die neue Version von TNT bitte, das ist wichtig). Jetzt werden die Handles der Fenster von Wordpad wichtig. Wir suchen ein Fenster, dessen Handle einer Adresse entspricht, die in WordPad physikalischem Speicher zugewiesen ist und auf die Lese- und Schreibrechte bestehen. Also - frisch ans Werk - Fenster im Treeview auswählen, jedes Fensterhandle kopieren, Prozess auswählen, Rechtsklick auf Prozess und Infos über Adresse auswählen. Keine Adresse gefunden? Dann den Rechner neu starten und es nochmals versuchen.
Bei mir unter Windows2000 habe ich die Adresse 65752 gefunden.
Dann schauen wir uns die Module etwas näher an und klicken auf die KERNEL32.DLL. Hier interessiert uns die Adresse der Funktion LoadLibraryA im Prozess, die wir uns in die Zwischenablage kopieren (bei mir 2011669076).
Nachdem wir im Hauptfenstermenü String in Bytefolge umwandeln angeklickt und dort C:TempProSpeed.dll eingegeben haben werden wir ganz frech, wählen wieder den WordPad-Prozess und klicken rechts (im Treeview) um einen Speicherbereich zu ändern.
Unter Adresse des Speicherbereichs geben wir die gefundene Adresse (also bei mir 65752) ein. Bei Hexadezimaler neuer Inhalt hängen wir noch zwei Nullen an und drücken dann Speicherbereich ändern.
[...] 
Als nächtes klicken wir im Treeview wieder das Fenster (mit dem Handle 65752) an, zu dem wir die Adresse gesucht haben. Wiedermal Rechtsklick und dann Timernachrit senden - als Adresse nehmen wir hier die vorher aus der KERNEL32.DLL herausgesuchte Funktionsadresse und schicken die Klamotte ab.
Jetzt im Treeview wieder auf den Prozess WordPad klicken und flux einmal die Module angeschaut:
[...]
Wer sich jetzt schon wundert, sollte das bitte noch etwas verschieben...
Un interessiert nun die Adresse der Funktion Version im Prozess (bei mir 268440346), also einmal bitte im Treeview auf die ProSpedd.dll klicken.
Dann wählen wir im Treeview das Hauptfenster von WordPad aus - Titel: Dokument - WordPad und senden wieder eine Timernachricht. Als Adresse geben wir hier die Adresse der Funktion Version (268440346) ein.
Es zeigt sich folgendes Bild.:
[...]
Wer jetzt denkt, die Messagebox hat TNT erzeugt, kann gerne TNT einmal beenden - die Messagebox bleibt erhalten, bis WordPad beendet wird.
Was ist geschehen? Arbeitet Frank seit Jahren insgeheim für Microsoft?? Nutzt Microsoft die ProSpeed.dll ohne Franks Wissen um bestimmte Abläufe in WordPad schneller zu gestalten??? :lach : (...ich hoffe, Frank vergibt mir den kleinen Spaß...)
Nun mal ganz im Ernst - was ich hier aufgezeigt habe, ist eine von vermutlich drei Möglichkeiten, DLLs in fremde Prozesse zu laden ... - und zumindestens IF (=> THREAD.PCU => hervorragend pfiffige Anwendung von Timern) wird auch ohne weitere Erklärungen verstehen, was da genau vor sich geht. Ich werde mich deshalb hier einmal auf das warum beschränken. Welche Vorteil hat es, sich in fremden Prozessen zu befinden?
Ganz einfach: Manche APIs lassen sich nur innerhalb eines jeweiligen Prozesses ausführen - nicht außerhalb. Wenn es um Special Forces in der Programmierung geht, - wie zum Beispiel um das Herausfinden von Hintergründen und das Untersuchen von Prozessen zum Schaffen neuer Programmiermöglichkeiten - stößt man da sehr schnell auf unangenehme Grenzen. Ein Prozess, in dem ich mich im Augenblick sehr gerne befinden würde, ist z.B. der Service CSRSS. Leider hat Microsoft scheinbar etwas dagegen, daß ich mich da einklinke  , was mein Vertrauen im WindowsNT ff als an sich schon ziemlich sicheres OS mal wieder bestätigt hat.
Nochmals an Frank, der hinter allen böse Virenschreiber vermutet ...
Meine Meinung: Zum Knacken eines Rechners taugt das beim besten Willen nicht, denn ich brauch die Rechte PROCESS_VM_READ, PROCESS_VM_OPERATION und PROCESS_VM_WRITE -> TNT bietet da ja sehr gute Möglichkeiten mal nachzusehen, wer diese Rechte überhaupt hat. Den Eigentümer-ich Faktor muß man da natürlich auch noch berücksichtigen, was aber im Prinzip keine Gefahr für die Systemsicherheit bedeutet. |
 |
| |
| |
| |
|
|
Frank
Abbing | Ich vermute bestimmt nicht hinter allem böse Virenschreiber. Aber besser Jan ist bange, als Jan ist tot... Sind ja oft die Stillen und Unscheinbaren. Solche, die nie auffallen und immer nett zu jedem sind... 
Übrigens ist die ProSpeed.dll ab Version 2.8 Freeware. Wer das letzte Bild sieht, könnte da was missverstehen... |
|
| |
| |
| |
|
|
Jac
de
Lad | Die Prospeed beschwert sich nach einer Weile aber immer noch, dass sie nicht registriert ist. Ich habe iene Möglichkeit gefunden, das zu umgehen (es war ja auch nicht schwer zu finden) aber irgendwie ist das komisch. (Oder ich hab ne falsche Version, aber ich habe definitiv Version 2.8!)...
Jac  |
|
| |
| Profan² 2.6 bis XProfan 11.1+XPSE+XPIA+XPRR (und irgendwann XIDE)
Core2Duo E8500/T2250, 8192/1024 MB, Radeon HD4850/Radeon XPress 1250, Vista64/XP | 04.07.2006 ▲ |
|
| |
|
|
Frank
Abbing | | Wahrscheinlich hast du noch irgendwo eine alte Version herumliegen. Vielleicht im Systemordner. Bei mir kommt schon lange keine Meldung mehr. |
|
| |
| |
| |
|
|
Jac
de
Lad | Ich lads mir nochmal runter. Schade, dass sie nicht mehr weiterentwickelt wird, die brauche ich für fast jedes Projekt...  |
|
| |
| Profan² 2.6 bis XProfan 11.1+XPSE+XPIA+XPRR (und irgendwann XIDE)
Core2Duo E8500/T2250, 8192/1024 MB, Radeon HD4850/Radeon XPress 1250, Vista64/XP | 05.07.2006 ▲ |
|
| |
|
|
Frank
Abbing | Naja, ich überlege hin und wieder noch was einzufügen, wenn ich neue Funktionen benötige und nicht extra eine Dll dafür machen möchte. Ist also nicht auszuschliessen, dass noch Updates kommen...  |
|
| |
| |
| |
|
|
Jac
de
Lad | |
| |
| Profan² 2.6 bis XProfan 11.1+XPSE+XPIA+XPRR (und irgendwann XIDE)
Core2Duo E8500/T2250, 8192/1024 MB, Radeon HD4850/Radeon XPress 1250, Vista64/XP | 05.07.2006 ▲ |
|
| |
|
|
Timotheus | Ich hab eine Idee. Mach doch die Prospeed.dll zu einem Art Community-Projekt. Am besten machen wir hier dafür ein extra Teilforum, und in dem kann dann jeder mitarbeiten. Und zwar so: Jeder der Lust hat, kann eine Funktion in Assembler schreiben, und diese wird dann von Frank geprüft und dann eingebaut. Dadurch könnte die Prospeed-DLL zu der umfangreichsten DLL werden, die die Profanwelt je gesehen hat.  |
|
| |
| |
| |
|
|
Frank
Abbing | Ohne deinen Eifer bremsen zu wollen... 
1. Habe ich nicht genug Zeit dazu (Einbau, Anleitung, usw.).
2. Gibt es hier kaum eine Handvoll Assemblerprogrammierer
3. Funktionieren solche Projekte nicht wirklich gut (z.B. Okrea)
Wer aber meint, er hätte eine sinnvolle Funktion erstellt, die unbedingt eingebaut werden müsste, kann mich jederzeit deswegen kontakten und ich baus ein, wenn es mir auch sinnvoll erscheint. |
|
| |
| |
| |
|
|
Timotheus | | Anleitung istz nicht das Problem, das kann ja jeder selbst was dazu schreiben, und noch ein bisschen das ganze in die Reinform bringen, dauert auch nicht sehr lange. Auf jedenfall ist das eine gute Idee, und bei allgemeinen Sachen bräuchte man sich dann nicht immer selbst noch ein DLL zu machen. Ich schick dir am Wochenende mal was zu und mach den Anfang 8) |
|
| |
| |
| |
|
|
Frank
Abbing | Nur zu  |
|
| |
| |
| |
|
(1.138)
Deutsch
English
Français
Español
Italia
