Español
Stammtisch & Café

Was son porque el para Module???

 
- Página 1 -


Ausgelesen con ModHunter bajo Windows98:



Windowsversion: Windows98 ( A )

Prozessdaten:
Prozessname=C:WINDOWSSYSTEMMSGSRV32.EXE
Prozess-ID=-56225
Prozesserzeuger=

Modulname=C:WINDOWSSYSTEMMPR.DLL
Ladeadresse=2143223808
Ladestatus=geladen
Hersteller=Microsoft Corporation

Modulname=C:WINDOWSSYSTEMUSER32.DLL
Ladeadresse=-1074462720
Ladestatus=geladen
Hersteller=Microsoft Corporation

Modulname=C:WINDOWSSYSTEMGDI32.DLL
Ladeadresse=-1074659328
Ladestatus=geladen
Hersteller=Microsoft Corporation

Modulname=C:WINDOWSSYSTEMADVAPI32.DLL
Ladeadresse=-1075314688
Ladestatus=geladen
Hersteller=Microsoft Corporation

Modulname=C:WINDOWSSYSTEMKERNEL32.DLL
Ladeadresse=-1074331648
Ladestatus=geladen
Hersteller=Microsoft Corporation

Modulname=unbekannt
Ladeadresse=-1341456384
Ladestatus=Memory-Modul
Hersteller=

Modulname=unbekannt
Ladeadresse=-1163264000
Ladestatus=Memory-Modul
Hersteller=

Modulname=unbekannt
Ladeadresse=-1078525952
Ladestatus=Memory-Modul
Hersteller=

Modulname=unbekannt
Ladeadresse=-1075904512
Ladestatus=Memory-Modul
Hersteller=

Modulname=unbekannt
Ladeadresse=-1075707904
Ladestatus=Memory-Modul
Hersteller=

Modulname=unbekannt
Ladeadresse=-1075445760
Ladestatus=Memory-Modul
Hersteller=

Modulname=unbekannt
Ladeadresse=-1075380224
Ladestatus=Memory-Modul
Hersteller=

Modulname=unbekannt
Ladeadresse=-1074921472
Ladestatus=Memory-Modul
Hersteller=


Könnten el aquí como Memory-Module Dinge wohl Treiber ser .
 
20.03.2007  
 



 
- Página 2 -


Puedo para todos Detektive hier veces ModHunter de meiner Homepage empfehlen. ModHunter es spitze y taugt no sólo para Scannen después de Trojanern!
 
22.03.2007  
 




Nico
Madysa
Ähm, Andreas, Yo voluntad mich no con dir invertir, pero yo kann el ModHunter no encontrar. El Zip de deiner HP enthält ne DLL, una Video, una HLP, una CNT y ne GID, pero no EXE.
 
Nico Madysa
23.03.2007  
 



Habs gerade todavía una vez heruntergeladen - en me Es el EXE como. Kann el veces alguien anders otra vez kontrollieren?
 
23.03.2007  
 




Nico
Madysa
Aargh, Yo nehm alles zurück. Yo el EXE beim In-una-Extra-Ordner-Verschieben übersehen, como el Explorer el EXE igual eingeordnet ha, sorry!
 
Nico Madysa
23.03.2007  
 



So, lugar ahora veces folgende Behauptung en:

1.) Speicherbereiche oberhalb de 2GB comportamiento se bajo Wiondows95/98/ME genauso como bajo NT-basierenden Sistema.
a) Virtuelle Adressen en unterschiedlichen Prozessen verweisen en el gleichen realen Speicheradressen.
b) Der Speicher se en cada Prozess gleichermaßen gemappt. Wird una Speicherbereich en un Prozess zugewiesen, erscheint dieser auch en allen otro Prozessen.


Das bedeutet: Wird en DLL bajo Windows95/98/ME de una Prozess en Speicherbereiche oberhalb de 2GB geladen, son deren Exportfunktionen no sólo en el aktuellen Prozess, pero auch en allen otro laufenden Prozessen encima Call aufrufbar, obwohl hay kein Handle en el DLL besteht.
=>
Bajo NT-basierenden Systemen gilt para Speicherbereiche oberhalb de 2GB:
Alle hay durchgeführten Schreibaktionen erscheinen auch en el virtuellen Adressbereich aller otro Prozesse des Systems.


So correcto?
 
29.03.2007  
 




Nico
Madysa
Moment, heißt el, si yo Arbeitsspeicher encima 2 GB habe, kann Yo bajo cierto Bedingungen una DLL aufrufen, oghne ellos geöffnet a haben?
 
Nico Madysa
30.03.2007  
 



Nein el ha nichts con el Größe des physikalisch disponible stehenden Rams a tun.
 
30.03.2007  
 



¡Hola Nico...

Tiempo bastante simplemente:
Windows verschafft cada Prozess quasi una eigenen Speicherbereich con uno Größe de en el Regel 4GB. Der obere Zona dieses virtuellen Speichers se vom Betriebsystem genutzt (dorthin voluntad para Ejemplo Treiber geladen); el User ha normalerweise no Zugriff darauf, así el Betriebsystem sicher se ejecuta.
Der untere Zona es el User zugänglich (Module invitar, Variables speicher etc.) y kann ausgelesen y bearbeitet voluntad.
Bajo Windows95/98/ME son 3GB el User zugänglich, bajo NT basierenden Systemen (NT/2000/XP/Vista) en el Regel 2GB.

Läd nun Windows bajo Windows95/98/ME una Modul en esta Zona de 1GB Größe, el el User hay mehr zusteht como bajo NT, es el geladene Modul (DLL) auch el Prozessen disponible, el ellos nada geladen haben!

Der Sachverhalt es extremo simplemente encima ModHunter y TNT nachzuvollziehen - witzige Geschichte .
 
30.03.2007  
 



Wenn Yo bastante habe, dürfte hay auch el größte Fehlerquelle de Windows95/98/ME mentira.
.
Escribe una Prozesse versehentlich en esta Zona, sería dies entonces auch bajo Umständen para Choque oder hängen des WindowsExplores y así des Betriebsystems führen .
 
30.03.2007  
 




Nico
Madysa
OK, danke para el Erläuterung.

P.S.: Wegen deiner Anfrage en el RGH-Foro: En me se ejecuta el Code sin Problemas por, qué deine Vermutung zustätzlich stützen dürfte.
 
Nico Madysa
02.04.2007  
 



Tiempo para Abschluss hier el Beweis, dass el wirklich así es. Nur Windows95/98/ME!

Code 1:
Der en el Downlod enthaldene Code Modul invitar.prf  enthalt el de me algo modifizierte Incluir de Sebastian König MemoryModule.Inc . Modifiziert Yo hier el Función LoadLibraryM y habe hay bajo anderem el undokumentierten Flag $8000000, el lo sólo bajo Windows95/98/ME son, eingefügt. Dieser Flag bewirkt, el el Virtuelle Speicher para el Modul en zwischen 2GB y 3GB previsto se.

Code 2:
Der Code el DLL, el de Code 1 geladen voluntad se (Testmodul.dll), findet uno en el Expediente Testmodul.prf . Hier se simplemente una variable en 1 aumenta y Valor en el Expediente C:TEST.INI  gespeichert, si la Función _increase@0 aufgerufen se..

Code 3:
Der Code Increase_Variable.prf :
In el Inputfeld muss hier el Adresse el Función _increase@0 eingegeben voluntad. Danach es simplemente una Call en esta Adresse.

Voila: Variable aumenta se, obwohl Code 3 el DLL Testmodul.dll  nada läd!
... y el aumenta se natürlich auch, si Increase_Variable.prf  con dieser Adresse aufgerufen se y Modul invitar.prf  no se ejecuta.

Fazit:
1.) El mejor Möglichkeit, en en una Windows9x/ME Sistema una DLL a injizieren, es encima una Memory-Modul el en denSpeicherbereich zwischen 2GB y 3GB geladen se.

2.) Un en esta Zona geladene DLL taucht mitsammt ihrem Datenbereich genau así en cada otro Prozess en, es hay aber unsichtbar, como kein Handle en esta DLL besteht.

3.) In Speicherbereiche de 2GB a 3GB voluntad bajo Windows9x/ME en el Regel wichtige Systemdlls y Systemstrukturen (wohl auch el TEBs) geladen. Escribe una fehlerhaftes Programa en esta Bereiche, son pesado Systemabstürze vorprogrammiert!
Bajo NT-basierenden Systemen se dieser Zona komplett de Treibern genutzt - d.h. el User kann no en esta Bereiche escribir - qué el Sistema ingesammt stabiler macht.

4.) Der User kann bajo Windows9x/ME en VIrtualAlloc en Parámetro 3 el Flag $8000000 uso, en Daten específicamente en esta geteilten Speicherbereich a invitar.

652 kB
Kurzbeschreibung: Testcodes
Hochgeladen:06.05.2007
Ladeanzahl123
Descargar
 
06.05.2007  
 




Frank
Abbing
Alles interessant, aber desafortunadamente Schnee de gestern. Diese Betriebssysteme riechen ya algo streng...
 
06.05.2007  
 




Respuesta


Título del Tema, max. 100 Signo.
 

Systemprofile:

Kein Systemprofil creado. [anlegen]

XProfan:

 Contribución  Font  Smilies  ▼ 

Bitte registro en una Contribución a verfassen.
 

Tema opciones

9.749 Views

Untitledvor 0 min.
Christian Hahn14.12.2011

Themeninformationen



Admins  |  AGB  |  Applications  |  Autores  |  Chat  |  Política de Privacidad  |  Descargar  |  Entrance  |  Ayuda  |  Merchantportal  |  Pie de imprenta  |  Mart  |  Interfaces  |  SDK  |  Services  |  Juegos  |  Búsqueda  |  Support

Ein Projekt aller XProfan, el lo son!


Mi XProfan
Privado Noticias
Eigenes Ablageforum
Temas-Merkliste
Eigene Beiträge
Eigene Temas
Zwischenablage
Cancelar
 Deutsch English Français Español Italia
Traducciones

Política de Privacidad


Wir uso Cookies sólo como Session-Cookies wegen el technischen Notwendigkeit y en uns hay no Cookies de Drittanbietern.

Wenn du hier en unsere Webseite klickst oder navigierst, stimmst du unserer Erfassung de Informationen en unseren Cookies en XProfan.Net a.

Weitere Informationen a unseren Cookies y dazu, como du el Kontrolle darüber behältst, findest du en unserer nachfolgenden Datenschutzerklärung.


einverstandenDatenschutzerklärung
Yo möchte no Cookie