| |
|
|
- Página 1 - |
|
| Ausgelesen con ModHunter bajo Windows98:
Windowsversion: Windows98 ( A )
Prozessdaten: Prozessname=C:WINDOWSSYSTEMMSGSRV32.EXE Prozess-ID=-56225 Prozesserzeuger=
Modulname=C:WINDOWSSYSTEMMPR.DLL Ladeadresse=2143223808 Ladestatus=geladen Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMUSER32.DLL Ladeadresse=-1074462720 Ladestatus=geladen Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMGDI32.DLL Ladeadresse=-1074659328 Ladestatus=geladen Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMADVAPI32.DLL Ladeadresse=-1075314688 Ladestatus=geladen Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMKERNEL32.DLL Ladeadresse=-1074331648 Ladestatus=geladen Hersteller=Microsoft Corporation
Modulname=unbekannt Ladeadresse=-1341456384 Ladestatus=Memory-Modul Hersteller=
Modulname=unbekannt Ladeadresse=-1163264000 Ladestatus=Memory-Modul Hersteller=
Modulname=unbekannt Ladeadresse=-1078525952 Ladestatus=Memory-Modul Hersteller=
Modulname=unbekannt Ladeadresse=-1075904512 Ladestatus=Memory-Modul Hersteller=
Modulname=unbekannt Ladeadresse=-1075707904 Ladestatus=Memory-Modul Hersteller=
Modulname=unbekannt Ladeadresse=-1075445760 Ladestatus=Memory-Modul Hersteller=
Modulname=unbekannt Ladeadresse=-1075380224 Ladestatus=Memory-Modul Hersteller=
Modulname=unbekannt Ladeadresse=-1074921472 Ladestatus=Memory-Modul Hersteller=
Könnten el aquí como Memory-Module Dinge wohl Treiber ser . |
|
|
| |
|
|
| |
|
- Página 2 - |
|
|
| Puedo para todos Detektive hier veces ModHunter de meiner Homepage empfehlen. ModHunter es spitze y taugt no sólo para Scannen después de Trojanern! |
|
|
| |
|
|
|
Nico Madysa | Ähm, Andreas, Yo voluntad mich no con dir invertir, pero yo kann el ModHunter no encontrar. El Zip de deiner HP enthält ne DLL, una Video, una HLP, una CNT y ne GID, pero no EXE. |
|
|
| |
|
|
|
| Habs gerade todavía una vez heruntergeladen - en me Es el EXE como. Kann el veces alguien anders otra vez kontrollieren? |
|
|
| |
|
|
|
Nico Madysa | Aargh, Yo nehm alles zurück. Yo el EXE beim In-una-Extra-Ordner-Verschieben übersehen, como el Explorer el EXE igual eingeordnet ha, sorry! |
|
|
| |
|
|
|
| So, lugar ahora veces folgende Behauptung en:
1.) Speicherbereiche oberhalb de 2GB comportamiento se bajo Wiondows95/98/ME genauso como bajo NT-basierenden Sistema. a) Virtuelle Adressen en unterschiedlichen Prozessen verweisen en el gleichen realen Speicheradressen. b) Der Speicher se en cada Prozess gleichermaßen gemappt. Wird una Speicherbereich en un Prozess zugewiesen, erscheint dieser auch en allen otro Prozessen.
Das bedeutet: Wird en DLL bajo Windows95/98/ME de una Prozess en Speicherbereiche oberhalb de 2GB geladen, son deren Exportfunktionen no sólo en el aktuellen Prozess, pero auch en allen otro laufenden Prozessen encima Call aufrufbar, obwohl hay kein Handle en el DLL besteht. => Bajo NT-basierenden Systemen gilt para Speicherbereiche oberhalb de 2GB: Alle hay durchgeführten Schreibaktionen erscheinen auch en el virtuellen Adressbereich aller otro Prozesse des Systems.
So correcto? |
|
|
| |
|
|
|
Nico Madysa | Moment, heißt el, si yo Arbeitsspeicher encima 2 GB habe, kann Yo bajo cierto Bedingungen una DLL aufrufen, oghne ellos geöffnet a haben? |
|
|
| |
|
|
|
| Nein el ha nichts con el Größe des physikalisch disponible stehenden Rams a tun. |
|
|
| |
|
|
|
| ¡Hola Nico...
Tiempo bastante simplemente: Windows verschafft cada Prozess quasi una eigenen Speicherbereich con uno Größe de en el Regel 4GB. Der obere Zona dieses virtuellen Speichers se vom Betriebsystem genutzt (dorthin voluntad para Ejemplo Treiber geladen); el User ha normalerweise no Zugriff darauf, así el Betriebsystem sicher se ejecuta. Der untere Zona es el User zugänglich (Module invitar, Variables speicher etc.) y kann ausgelesen y bearbeitet voluntad. Bajo Windows95/98/ME son 3GB el User zugänglich, bajo NT basierenden Systemen (NT/2000/XP/Vista) en el Regel 2GB.
Läd nun Windows bajo Windows95/98/ME una Modul en esta Zona de 1GB Größe, el el User hay mehr zusteht como bajo NT, es el geladene Modul (DLL) auch el Prozessen disponible, el ellos nada geladen haben!
Der Sachverhalt es extremo simplemente encima ModHunter y TNT nachzuvollziehen - witzige Geschichte . |
|
|
| |
|
|
|
| Wenn Yo bastante habe, dürfte hay auch el größte Fehlerquelle de Windows95/98/ME mentira. . Escribe una Prozesse versehentlich en esta Zona, sería dies entonces auch bajo Umständen para Choque oder hängen des WindowsExplores y así des Betriebsystems führen . |
|
|
| |
|
|
|
Nico Madysa | OK, danke para el Erläuterung.
P.S.: Wegen deiner Anfrage en el RGH-Foro: En me se ejecuta el Code sin Problemas por, qué deine Vermutung zustätzlich stützen dürfte. |
|
|
| |
|
|
|
| Tiempo para Abschluss hier el Beweis, dass el wirklich así es. Nur Windows95/98/ME!
Code 1: Der en el Downlod enthaldene Code Modul invitar.prf enthalt el de me algo modifizierte Incluir de Sebastian König MemoryModule.Inc . Modifiziert Yo hier el Función LoadLibraryM y habe hay bajo anderem el undokumentierten Flag $8000000, el lo sólo bajo Windows95/98/ME son, eingefügt. Dieser Flag bewirkt, el el Virtuelle Speicher para el Modul en zwischen 2GB y 3GB previsto se.
Code 2: Der Code el DLL, el de Code 1 geladen voluntad se (Testmodul.dll), findet uno en el Expediente Testmodul.prf . Hier se simplemente una variable en 1 aumenta y Valor en el Expediente C:TEST.INI gespeichert, si la Función _increase@0 aufgerufen se..
Code 3: Der Code Increase_Variable.prf : In el Inputfeld muss hier el Adresse el Función _increase@0 eingegeben voluntad. Danach es simplemente una Call en esta Adresse.
Voila: Variable aumenta se, obwohl Code 3 el DLL Testmodul.dll nada läd! ... y el aumenta se natürlich auch, si Increase_Variable.prf con dieser Adresse aufgerufen se y Modul invitar.prf no se ejecuta.
Fazit: 1.) El mejor Möglichkeit, en en una Windows9x/ME Sistema una DLL a injizieren, es encima una Memory-Modul el en denSpeicherbereich zwischen 2GB y 3GB geladen se.
2.) Un en esta Zona geladene DLL taucht mitsammt ihrem Datenbereich genau así en cada otro Prozess en, es hay aber unsichtbar, como kein Handle en esta DLL besteht.
3.) In Speicherbereiche de 2GB a 3GB voluntad bajo Windows9x/ME en el Regel wichtige Systemdlls y Systemstrukturen (wohl auch el TEBs) geladen. Escribe una fehlerhaftes Programa en esta Bereiche, son pesado Systemabstürze vorprogrammiert! Bajo NT-basierenden Systemen se dieser Zona komplett de Treibern genutzt - d.h. el User kann no en esta Bereiche escribir - qué el Sistema ingesammt stabiler macht.
4.) Der User kann bajo Windows9x/ME en VIrtualAlloc en Parámetro 3 el Flag $8000000 uso, en Daten específicamente en esta geteilten Speicherbereich a invitar. |
|
|
| |
|
|
|
Frank Abbing | Alles interessant, aber desafortunadamente Schnee de gestern. Diese Betriebssysteme riechen ya algo streng... |
|
|
| |
|
|