| |
| |
|
 | Ausgelesen con ModHunter bajo Windows98:
Windowsversion: Windows98 ( A )
Prozessdaten:
Prozessname=C:WINDOWSSYSTEMMSGSRV32.EXE
Prozess-ID=-56225
Prozesserzeuger=
Modulname=C:WINDOWSSYSTEMMPR.DLL
Ladeadresse=2143223808
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMUSER32.DLL
Ladeadresse=-1074462720
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMGDI32.DLL
Ladeadresse=-1074659328
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMADVAPI32.DLL
Ladeadresse=-1075314688
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMKERNEL32.DLL
Ladeadresse=-1074331648
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=unbekannt
Ladeadresse=-1341456384
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1163264000
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1078525952
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1075904512
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1075707904
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1075445760
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1075380224
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1074921472
Ladestatus=Memory-Modul
Hersteller=
Könnten el aquí como Memory-Module Dinge wohl Treiber ser  . |
|
| |
| |
| |
|
|
| | Das Modul con el Adresse -1341456384 sieht de como nvdd32.dll - y el dürfte a meiner Grafikkarte gehören . |
|
| |
| |
| |
|
|
| Und Adresse -1074921472 scheint a uno 20kB großen NTDLL.DLL a passen, que en mi Windows Systemordner befindet. Scheinen alles Windows-Sistema-DLls a ser.
Woher kommen esta DLL y cómo fueron el geladen? ¿Por qué son el unsichtbar, si uno el DLL en ToolHelp Características listet??? |
|
| |
| |
| |
|
|
| | Sombrero alguien más de euch veces irgenwas geschrieben, qué Module uno Prozesses con el ToolHelp Características (CreateToolhelp32Snapshot /Module32First/Module32Next) listet, así Yo así veces testen kann, si dieser Code todos Module anzeigt???? |
|
| |
| |
| |
|
|
| Tal vez ha sí veces alguien Lust, el oben angesprochene bajo Windows2000/XP a bauen? Yo habe en el Augenblick el Eindruck, Microsoft versteckt hay absichtlich algo, en cierto Sachverhalte antes el User y el Programmierer a verschleiern.  |
|
| |
| |
| |
|
|
| Nö Andreas,  como se nichts versteckt oder verschleiert - pero yo habe ahora una Vermutung, woher esta Module kommen y cómo ellos geladen voluntad. Schreibe todavía Code, en el a beweisen oder a widerlegen. |
|
| |
| |
| |
|
|
| Bingo!
Hier es Code:
KompilierenMarcaSeparaciónDEF @GetModuleHandle(1) !KERNEL32,GetModuleHandleA
DEF @GetProcAddress(2) !KERNEL32,GetProcAddress
Declare Module2$,Module$,HModule&,Funktion&,Funktion$,Zero&,FileInfoSize&
LET Module$=VERSION
LET Module2$=$SYSPATH+KERNEL32.DLL
LET FUNKTION$=GetFileVersionInfoSizeA
Windowstyle 31
Windowtitle Call ohne Handle!
Window 0,0-640,440
Print Handle der Version.dll vor dem Laden: +@str$(@GetModuleHandle(@addr(Module$)))
Print
LET HModule&=@UseDll(VERSION)
Print Handle der geladenen Version.dll: +@str$(@GetModuleHandle(@addr(Module$)))
Print
LET FUNKTION&=@GetProcAddress(HModule&,@addr(Funktion$))
Print Funktionsadresse von +FUNKTION$+: +@str$(FUNKTION&)
LET FileInfoSize&=@Call(FUNKTION&,@ADDR(Module2$),@ADDR(Zero&))
Print FileInfoSize von Kernel32.dll vor dem Entladen: +@str$(FileInfoSize&)
Freedll HModule&
Print Handle der Version.dll nach dem Entladen: +@str$(@GetModuleHandle(@addr(Module$)))
Clear FileInfoSize&
$B Vor Call
LET FileInfoSize&=@Call(FUNKTION&,@ADDR(Module2$),@ADDR(Zero&))
$B Nach Call
Print
Print FileInfoSize von Kernel32.dll nach dem Entladen: +@str$(FileInfoSize&)
Print Handle der Version.dll nach dem Call: +@str$(@GetModuleHandle(@addr(Module$)))
Print
While 1
Waitinput
wend
Dieser Code dürfte en allen NT basierenden Systemen (NT/2000/XP) abstürzen, en allen no-NT basierenden Systemen (95/98/ME) aber trabajo.
Si el irgendwo bajo 95/98/ME no trabajo debería, bräuchte Yo veces el zurückgegeben Handle el geladenen Versión.dll .
Wo hauts hin, wo no??? |
|
| |
| |
| |
|
|
| Behauptung füt Windows95/98/ME:
Solange irgendein Prozess se ejecuta, el el Versión.dll encima LoadLibrary (...) geladen ha, se ejecuta el obige Code - ha kein Prozess el Versión.dll geladen, stürzt el Code de. |
|
| |
| |
| |
|
|
Frank
Abbing | | Stimmt, schmiert de bajo XP... |
|
| |
| |
| |
|
|
 | Das lässt weit blicken... nonNTs son quasi gefährlich  |
|
| |
| |
| |
|
|
| IF
Das lässt weit blicken... nonNTs son quasi gefährlich
Es sowieso el Fall, como absolut nichts abgesichert es. Hier es me aber más a Speicherverwaltung y en una Sachverhalt, el bajo NT-Systemen unsichtbar es, como como el hay sólo Treiber betrifft (oder betreffen kann).
Lo va hier auch sólo en bastante cierto Module y no en todos! |
|
| |
| |
| |
|
|
| Bin Yo veces gespannt qué Usted como unser Windows-Detektiv hier herausbekommst.  |
|
| |
| |
| |
|
(1.108)
Deutsch
English
Français
Español
Italia