Français
Bücher & Tutoriels

Direct Code Injection avec XProfan

 
- page 1 -



Andre
Rohland
Liebe Community,

im cadre eines (meines) derzeitigen Projektes (Überwachung eines Prozesses) nutze je qui Possibilité, ausführbaren Code direct dans une laufenden Prozess trop injecter, qui aussi pour qui Beendigung des aufrufenden Programmes plus fonctionnement wird.

là cet Routine dans einem anderen Prozess fonctionne, ist vous so im XP-Taskmanager pas sichtbar, angezeigt wird là seulement qui (par qui Injection infizierte), d.h. übergeordnete Prozess.

Im angefügten Beispiel wird par qui Injector.exe zunächst cela Programme Muttertier.exe gestartet. après wird qui ausführbare Code dans den Prozess Muttertier.exe injiziert, cela aufrufende Programme Injector.exe finissez sich pour ca. 3 Sekunden. qui injizierte Code startet cela Programme prozess2.exe et überprüft, si es encore fonctionne.

Ist ca pas qui le cas, wird es récente gestartet. qui Routine teilt prozess2.exe aussi avec, si es sich beim Start um une ersten et normalen Start, ou bien um une Start pour Abschießen par Beendigung ou bien Taskmanager handelt. ca gibt prozess2.exe entsprechend aus.

Getestet ist cet Programme bisher seulement avec Win XP/SP3. chez einem faute ( z.B. Muttertier.exe hat une faute festgestellt et muss finissez volonté - Problem aussi à Microsoft senden ?) konnte je bisher aucun Beeinträchtigungen qui Systemstabilität feststellen.

quand même weise je daraufhin, dass cela wilde herumexperimentieren avec diesem Programme sur eigenes Risiko erfolgt.

qui konkrete Verfahrensweise qui Programmation solcher Dinge liegt dans einer ( pour mich ) sogenannten Grauzone. qui directe Injizierung de ausführbarem Code dans autre Prozesse hat sicherlich dans Spezialfällen aussi une Berechtigung, liegt mais aussi très stark dans qui Nähe des Missbrauchs par Virenprogrammierung... .

je eröffne c'est pourquoi hiermit une Diskussion sur:

- Sinn et Unsinn solcher Programme...
- darf on wirklich allen ! Usern qui Community solche Techniken nachvollziehbar expliquer ?

je attends maintenant sur Eure attitude. jusqu'à qui majorité qui Posts un eindeutiges Votum abgibt, werde je mich avec einschlägigen Offenlegungen, Quelltexten et weiteren Hilfen/Erklärungen zurückhalten.

vous êtes maintenant tour...

Salut André

1.065 kB
Hochgeladen:05.03.2009
Downloadcounter498
Download
 
04.03.2009  
 



 
- page 1 -



Andre
Rohland
@Peter (Specht):

Frage 1.) Ungefähr so quelque chose comment Mach s'il te plaît keinen Mist...
Frage 2.) ce sont qui sogenanten Nutzungsbedingungen de Microsoft
Frage 3.)non !!!, quoi Du probablement meinst sommes qui sogen. Terminate and Stay Resistent Programme, cet ici überlebt avec Sicherheit keinen Reset... .
Frage 4.) habe je à IF weitergeleitet, weiss aussi pas so oui c'est ca, quoi il avec cela meint... .
Frage 5.) entier trivial: si Du quoi Böses avec dem Code fais... .

Salut André
 
05.03.2009  
 



Andre Rohland
@Peter (Specht):

Frage 5.) entier trivial: si Du quoi Böses avec dem Code fais...


va doch simple la fois en aus, dass il bereits maintenant déjà viel bösere Codes écrivons pourrait, comme Du Dir peut-être wiederum présenter peux.

il y a aucun Sicherheit (sicheren Betriebssysteme) et Aufklärung schadet selten.
 
05.03.2009  
 



@Andre: peut-être faisons cela zunächst à einem klaren Anwendungsbeispiel fest welches nützlich son peux.

la hâte Du hierzu une concept?
 
05.03.2009  
 



 
- page 2 -



Matthias
Arlt
Andre Rohland
...dass un et diesselbe programmiertechnische Verfahrensweise trop guten Zwecken ( = Spezialfälle ), aussi trop bösen Zwecken ( = injecter de Malwarecode z.B. dans explorer.exe, svchost.exe etc.) verwendet volonté peux...


cela liegt eh bien la fois im Wesen qui l'affaire à sich...et ca dans allen Bereichen aussi outre- qui Programmation. une leidige, mais unabänderbare Tatsache.

Andre Rohland
Sei Dir s'il te plaît aussi par-dessus im Klaren, dass pas seulement unsere Community cette Beitrag lesen peux, mais chacun, qui irgendwo im Netz cette Beitrag findet...


je comprends durchaus Votre intention et diesbzgl. Zurückhaltung. seulement, espace cela pourrait un potentieller Interessent mais andernorts aussi erfahren. et il serait vmtl. encore large plutôt fündig, comme ici. car encore bewegt sich (X)Profan (m.M.n. ungerechtfertigt) plutôt im Randbereich qui allg. perception. qui didaktische Nutzen einer Offenlegung pourrait daher une befürchteten négative-effet (sofern cette überhaupt eintritt) chez Weitem überwiegen...

qui mögliche Alternative...je sais quoi, sags mais pas, hatten wir déjà. et vous hat sich lediglich seulement comme destruktiv erwiesen...

Salut
Matthias
 
WinXP SP2, Win7 - XProfan 10/11/FreeProfan32 - Xpia
06.03.2009  
 




E.T.
IF
@Andre: peut-être faisons cela zunächst à einem klaren Anwendungsbeispiel fest welches nützlich son peux.


So un Anwendungsbeispiel wäre oui ggf. aussi pas mal, afin de testen, comment div. Sicherheits-Software avec cela umgeht, si un laufendes Programme injiziert wird (rein Test-mäßig ).
 
Grüße aus Sachsen... Mario
WinXP, Win7 (64 Bit),Win8(.1),Win10, Win 11, Profan 6 - X4, XPSE, und 'nen schwarzes, blinkendes Dingens, wo ich das alles reinschütte...
06.03.2009  
 




Andre
Rohland
cela wäre ensuite wohl mon derzeitiges projet,
j'ai mais malheureusement encore pas fertig...

1.) qui Hintergrund...

est un Teenager avec dem Problem une école versus Computergaming.
on trifft sich plan so chez MMORPGs ( a.k.a Onlinegaming ) et allez ensuite entsprechend tôt trop Bett ( quelquefois sogar déjà um 01.00 montre).
Dabei ignoriert on großzügig den circonstance, dass on um 06.00 montre aufzustehen et une Schulweg de ca. 7 km trop bewältigen hat. qui schulischen Ergebnisse übernächtigter Teenies brauche je sicherlich pas auszuführen...

( s'il te plaît mais maintenant aucun guten Ratschläge zur Erziehung eines 18-jährigen Teenagers... )

2.) Spezialfall et légitimité des Projektes...

il y a haufenweise sogen. Kindersicherungsprogramme, qui qui Computerzeit einteilen et den ordinateur trop un certain Zeit herunterfahren, qui alle comme légitime eingestuft volonté.
vous partager sich dans deux Hauptgruppen:
- qui überwiegende partie arbeitet avec Zugriffsbeschränkungen ( Systemeinstellungen, Uhrzeiteinstellung, Taskmanager prohiber usw.) meist via Registry-Hacks ou bien Policies.
- qui kleinere partie greift tiefer dans cela System un, qui Restriktionen sommes pas toujours nachvollziehbar et im Fehlerfall aussi comme Admin pas toujours rückgängig trop faire.

cet Situation empfinde je comme unbefriedigend.
cela Sperren des Taskmanagers halte je z.B. pour plus que préoccupé, weil dem User qui Possibilité entzogen wird, une fehlerhaften Prozess trop finissons et qui Systemstabilität trop conservé. Stattdessen bleibt sous Umständen seulement un Neustart übrig.
quoi zum Beispiel, si je justement 13 Seiten pour une le ménage mühevoll zusammengeschrieben habe et qui Abgabetermin préoccupé proche liegt...

Spezialfall ?

je denke déjà, aus folgenden Trouvé:
- mon fils soll alle Rechte comme Admin sur seinem ordinateur behalten et pour Belieben dans seinem System schalten et walten peut, jusqu'à sur den circonstance, dass qui Kiste à Vorabenden de Schultagen plan 21.50 montre herunterfährt.
- en supplément wird seulement cet une Funktion gebraucht, qui Funktionsumfang üblicher Programme ist überflüssig et bremst cela System u.U. seulement aus, quoi dem Schlachten qui heiligen Kuh eines jeden Gamefreaks gleichkommt...
- je voudrais sur dem System keinen Kernel-Mode-Code fremder Anbieter effectuer laisser, den je pas wirklich vérifier peux
- cela Programme dient ausschließlich privaten Zwecken, une kommerzielle Verwendung ist pas vorgesehen.

3.) un Anwendungsbeispiel

liegt eigentlich déjà avant. qui prozess2.exe soll später qui devoir prendre, den ordinateur à Schultagen um 21.50 montre herunterzufahren. vous wird par den injizierten Code überwacht et peut-être récente gestartet.

qui einzubauende(n) Funktion(en):
- l'heure aus dem Internet holen ( c'est pourquoi habe je qui Daytime Protocol Unit geschrieben )
- verbleibende Zeit jusqu'à 21.50 montre dans Sekunden umrechnen
- GetTickCount + verbleibende Zeit dans Variable Sauver et alle 30s avec GetTickCount comparer
- Countdown ca. 1 min avant dem Herunterfahren einleiten (z.B Piep sur Systemlautsprecher)
- Herunterfahren

ici ist qui aktuelle Voir le texte source de Prozess2.exe
KompilierenMarqueSéparation
s'il te plaît beachtet, dass qui Abfrage qui Parameteranzahl voraussetzt, dass Prozess2 zur Exe kompiliert wird.

avec cela avez son maintenant un Anwendungsbeispiel, welches son selbst verändern, ausbauen et testen peut.

Fortsetzung aujourd'hui l'après-midi...
André
 
07.03.2009  
 




Andre
Rohland
Fortsetzung...

qui Überschrift des Beitrages sagte es zwar déjà, mais je voudrais es lieber encore la fois expliquer:
- Direct Code Injection bedeutet, dass weder Hooks verwendet volonté, encore Funktionen aus DLL irgendwo gemappt volonté, mais
- es wird ausführbarer Code direct dans den Speicherbereich eines Prozesses geschrieben et fonctionnement.

qui Methode zur direkten Injizierung des Codes ist (pour sich pris) droite simple, cela Problem ist qui Code selbst.
il muss à sich indépendant et ausführbar son, es peux alors aucun Exe-Dossier son ( mais nativer Bytecode ).
là fällt uns allen eigentlich seulement Assembler un... .

avec dem MASM32 hat sich Assembler-Programmation déjà presque trop einer Hochsprache entwickelt, es liegt alors proche, cette Assembler trop verwenden.

si je entier honnête son soll, ensuite werde je pour eigenständige XProfan-Programme, qui aus Perfomancegründen sur Assembler-Routinen zugreifen aussi weiterhin den XPIA de Frank verwenden.

cela funktioniert malheureusement dans unserem piège pas, wir brauchen überwiegend qui Low Level- Syntax des Assemblers, car es volonté pas alle Elemente qui High Level-Syntax soutenu.

qui alors richtig pushen et poppen peux ist entier bien sûr im Vorteil. (tschuldigung).

Im Klartext est cela ensuite wohl: Es wird un kleines Tutorial donner doit, welches qui de Euch geäußerten Wünsche à qui Nachvollziehbarkeit rencontrer wird... . là hab je mir oui quoi eingeproggt !

@IF:
était cela so dans etwa Votre intention ?

@E.T. (Mario):
je mets la fois nochne Exe rauf, avec qui Du cela Comportement des AV-Programmen versuchen peux trop testen, allerdings seulement demain... .

Soviel pour aujourd'hui, attends sur Eure répondre.

Salut
André
 
07.03.2009  
 




E.T.
Hab cela la fois avec dem Beispiel aus poste1( [...]  ) getestet:
FreeAV (Avira) scheind cela pas du tout trop intéresser (préoccupé ?? ). Zumindest konnte je dans aucun Log quoi trouver. FreeAV kontrolliert m.E. arrêt seulement, si dans  qui (den) Dossier(n) un Schadcode drinn ist. Wird un schädlicher Code seulement beim injecter erstellt (comme viele Trojaner, Viren etc: oui aussi faire), serait cela Avira ggf. gar pas merken (tout autor de mir seulement trop Test-Zwecken benutzt ).

Scanner avec Überwachung qui Programme-Aktivitäten merken déjà, cela là quoi passiert, aussi cela injecter wird registriert et überwacht:
Kaspersky z.B. registriert délicat säuberlich qui Aktivitäten, überprüft qui Datein et den Code, et si nix verdächtiges gemacht ou bien im Code trouvé wird, ensuite peut es gewähren. Am Log peux on très joli voyons, que voici alles gecheckt wird :



(qui langen Pausen entre den Programme-Starts resultieren aus deem Deep-Scann...) 
cela injecter eines laufenden Prozesses avec irgendwas peux alors déjà entier joli missbraucht volonté (aussi aus Profan-Progs heraus), un bon Scanner serait cela mais sur jeden le cas merken et qui Ausführung des Codes verhindern (hoffe je, jusqu'à maintenant wars chez mir so).
mais cela peux on oui entier léger testen, indem on dem guten Code beim injecter simple la fois une Testvirus beifügt (serait mich doch glatt intéresser, Andre, baust du cela la fois dans deinem Beispiel pour mich un?? ).

8 kB
Hochgeladen:08.03.2009
Downloadcounter404
Download
 
Grüße aus Sachsen... Mario
WinXP, Win7 (64 Bit),Win8(.1),Win10, Win 11, Profan 6 - X4, XPSE, und 'nen schwarzes, blinkendes Dingens, wo ich das alles reinschütte...
08.03.2009  
 




Andre
Rohland
Nochmal un Programme zum testen...

je weise ausdrücklich sur folgendes hin:

- cela Programme dient ausschließlich en supplément, trop ermitteln, comment sich Programme verhalten, dans qui Code injiziert wird, bzw. comment Antiviren-Software sur solche Code Injections reagiert !
- cela aufmerksame Lesen aller Posts trop diesem Thema, besonders mais qui de IF gegebenen Hinweise dans seiner ersten Antwort zum Thema ( bezüglich Injizierung de Code dans M$-Programme ) ist absolute devoir !!!
- peut-être überflüssig, weil déjà erwähnt, mais nochmals: je übernehme keinerlei responsabilité, qui ( hoffentlich pas blindwütige ) Benutzung des Programms erfolgt sur eigene péril !

Beschreibung des Programms:

cela Programme peut qui sélection eines laufenden Prozesses trop et injiziert une Assembler-Routine, qui une Messagebox aufruft. Beim Anklicken de OK erscheint qui Messagebox pour ca. 2 Sekunden erneut, beim Anklicken de Abbruch wird qui Fil avec qui Assembler-Routine finissez.

là cela aufrufende Programme pour Start qui Routine dans einem anderen Prozess finissez wird, avec cela cet eigenständig weiterläuft, erfolgt aucun Speicherfreigabe chez Beendigung des RemoteThreads ! on sollte c'est pourquoi peut-être pas justement 1000-la fois dans den selben Prozess injecter, si cette pas zwischendurch la fois geschlossen et récente gestartet wird, sonst pouvoir on aus einer Mücke une Elefanten...

XProfan-partie

- Vervollständigung einer bereits comme Include vorliegenden Assembler-Routine ( Bereichsvariable )avec den Adressen qui Funktionen( Messagebox ), ( ExitThread ) et ( Sleep ), sowie weiteren Parametern pour
- Öffnen eines Prozesshandles avec PROCESS_ALL_ACCESS - Rechten ( OpenProcess )
- Reservierung virtuellen Mémoire, 1000 Bytes ( VirtualAllocEx )
- Startadresse des reservierten grenier dans qui ASM-Routine ( Bereichsvariable ) écrivons
- 200 Bytes qui Bereichsvariable ( ASM-Routine ) dans den reservierten grenier ab Startadresse avec ( WriteProcessMemory ) écrivons
- RemoteThread starten avec Startadresse qui Routine ( CreateRemoteThread )
- selbst finissons

Assembler-partie

label:
- Messagebox Weiter ?
- OK --> sleep 2000 ---> Springe trop label:
- Abbruch ExitThread,0 selbst finissons

une détaillé Beschreibung allez wohl seulement dans einem entsprechenden Tutorial avec konkretem Voir le texte source comme Beispiel. Propositions pour Beispiele et Tutorial ???

Salut
André

356 kB
Hochgeladen:08.03.2009
Downloadcounter307
Download
 
08.03.2009  
 




Andre
Rohland
Hoppla, Mario

tu étais avec Deinem Beitrag un petite wenig plus rapide comme je.

juste la fois trop Deiner Frage: définitif NEIN !

1.) habe je pas wirklich Ahnung, comment on une Testvirus écrit...
2.) gibt es überhaupt Testviren ??? Pour mich ist Virus = Virus. Testvirus hört sich pour mich plutôt à comment: légèrement schwanger ou bien légèrement tot...
3.) Vorausgesetzt, es gäbe une Testvirus, so pourrait il ( weil il doch seulement un Testvirus ist ) keinen dommage sur Deinem System anrichten... ? dans diesem piège serait cependant Dein Kaspersky plus roupiller et sich sur une Protokollierung cette Aktivität beschränken, weil es aucun bekannten Schadroutinen findet ?
4.) Offenlegung, Erklärung qui konkreten Mechanismen et eh bien, eh bien sogar aussi encore Tutorial habe je pas umsonst à une moralische responsabilité geknüppert et Diskussionsbeiträge/ Meinungen en supplément gefordert...
5.) suis je fest en überzeugt, dass Du un Guter es et Votre Frage à mich à cause de derselben considérer erfolgte, qui je anfangs zur Diskussion gestellt habe

un bon Scanner ??? HÄ ???

alors: Meines Wissens hängen alle AV-Programme qui aktuellen Entwicklung neuer Viren une Tique pour et on nennt ca aussi qui Produktivkraft des Verbrechens. Schließlich muss qui neue Virus untersucht, analysiert et letztlich doit Erkennungsroutinen geschrieben volonté. Reine Viren sommes incidemment dans qui Szene relativ out, on konzentriert sich neuderdings stärker sur qui Programmation de Würmern, qui sich selbst semer et vestecken peut. Den réel Malware-Code magasin vous meist seulement aus dem Netz herunter ( keylogger, Mot de passe-Spione...).

seulement relativ wenige AV-Scanner versuchen sich ( im sogen. ON ACCESS - Modus = Zugriffe/ Dateistarts, etc... ) à qui Erkennung de Malware-Code. c'est nämlich gar pas so simple, car wohin commence car eigentlich qui SchadCode à ???

un Beispiel pour toi, pourquoi Dein Kaspersky chez bien geproggter Malware (Virus) versagen pourrait:
( je versuchs aussi kurz trop faire...)

mon Programme, un winziger, unscheinbarer Kernel-Mode-Treiber modifié avec qui sogen. DKOM-Methode ( = Direct Kernel Object Manipulation ) qui Verkettung de Systemstrukturen, z.B. avec dem Ergebnis, dass pour cela System un ganzer Dossier incl. aller Fichiers gar pas existent ist.

FRAGE 1: comment soll Kasper cet Fichiers ( avec seiner ON ACCESS ou bien seulement droite avec qui ON DEMAND- Methode untersuchen peut ?

Selbst si:
dans diesem Dossier est sich simple la fois gar ne...aucune Virus, mais un simple Proggi, welches alle Festplatten formatiert... ( = bon Code ? ).

FRAGE 2: Springt Kasper etwa à, si Du qui Festplatte ou bien une Partion formatieren vouloir ???
(je crois pas...)

mais plus: mon kleiner böser Treiber wird avec großer probabilité de Kaspersky gar pas untersucht volonté peut, weil il dans qui untersten Ausführungsschicht des Systems fonctionne ( = ring 0 ), d.h. il wird fonctionnement, bevor es überhaupt trop einem Login de Windoof venez.

et encore cela Selbst si:

Es volonté oui seulement un paire Zeigeroperationen fonctionnement... . si Kasper cela alles prohiber serait, ensuite Gute nuit..., weil oui aussi legitime Treiber so quelque chose effectuer, z.B. chez direkten I/O-Port-Operationen ( souris-Kontrollprogramme usw. ).

et wieder plus:
mon kleiner böser Treiber hockt eh bien aussi pour qui Anmeldung im System rum et wartet puis, dass je ihn la fois quelque chose frage... .
Zum Beispiel après, comment je qui format.exe im ausgeblendeten Dossier appel peux... !!!!!!!!

This could être My Way ???:
comment pourrait cela marcher ???
alors: je starte z.B. Explorer.exe sur qui System.ini comme Shell, avec einem paramètre.
cette ist naturellement qui Injector.exe. avec cela User X Je ne dazwischenpfuscht, verbiete je ihm juste la fois den Zugriff sur qui System.ini...

FRAGE 3:
Muckt Kasper etwa sur, si Du avec dem Befehl cacls.exe dans qui Eingabeaufforderung den Zugriff sur une Dossier/ Dossier sperrst ?
(wohl à peine...)

et nochmal une Schritt zurück:
qui Kasper stellt eh bien zwar fest, dass un Prozess (z.B. dans Explorer.exe ) eingeschleust worden ist, peux mais avec cela rien anfangen, là chacun opération genauso de anderen ( lieben ) Prozessen fonctionnement volonté pourrait et protokolliert cela seulement la fois zur Sicherheit - hahaha.

et eh bien qui absolute marteau:
Pour qui Ermittlung qui Opportunités zum Starten de format.exe nécessaire qui eingeschleußte Prozess ( ASM-Code )seulement Millisekunden.
encore bevor Du aussi seulement zum Lesen des Protokolls de Kaspersky-AV überhaupt viens, ist format.exe doch déjà gestartet... .

Sorry pour qui Horrorversion, mais je vais mittlerweile en aus, dass AV-Programme plus une Art de Selbstberuhigung sommes...

FRAGE 4: encore weitere Fragen ?

Sei pas traurig, weil je Dir ici so une transport erteilen doit... .

Sollten wir uns ici gemeinsam trop cette Problematik verständigen peut, so wird es un Tutorial donner, avec dem Du tiefer dans qui ganzen Probleme pénétrer et peut-être sogar Deinen eigenen Testvirus écrivons peux, de quoi je Dir mais pour comment avant dringend dissuader serait... .

Nochmals @ALLE:
peut-être versteht oui pour diesem Beispiel maintenant aussi chacun, pourquoi je une solche Diskussion gefordert habe, qui malheureusement partiellement pas entier so ernst pris wurde, comment je erwartet hätte.

Um cela aussi nochmals klarzustellen:
- qui lesen peux, ist sicherlich dans qui situation, meinen letzten Beiträgen trop entnehmen, dass je grundsätzlich bereit suis, mon savons trop vermitteln ( là je pas sais, sur welchem programmiertechnischen Level sich qui Leser cet Themas bewegen, habe je sogar un Tutorial dans Erwägung gezogen...)
- voulez son cela wirklich ???
- un, si aussi encore so kleines, Tutorial trop écrivons bedeutet richtig travail, zumal je mich pas toujours kurz saisir peux...
- sans Anregungen, Vorstellungen sur un Demo-projet fonctionne c'est pourquoi rien... .

P.S.: @Mario:
si je sous 1.) geschrieben habe, dass je je n'en sais rien habe, so heisst cela pas, dass je mich avec diesem Problem pas auseinandergesetzt habe ( suis selbst la fois assez böse gehackt worden...)

j'ai fertig. Puuuhhh !

Salut
André
 
08.03.2009  
 




E.T.
Huch, pour solch longtemps Posts mais est Dietmar zuständig

@Andre: Du sollst mir naturellement keinen Testvirus écrivons, quelque chose comme gibts entier officiel (de vielen Großen sogar freigegeben): [...] 
cette Link zeigt sur qui Erklärungs-page, pas sur une Virus !!! Nutze je entier gern, afin de montrer, cela qui Schutz aussi wirklich voilà


...mais plus: mon kleiner böser Treiber wird avec großer probabilité de Kaspersky gar pas untersucht volonté peut, weil il dans qui untersten Ausführungsschicht des Systems fonctionne ( = ring 0 ), d.h. il wird fonctionnement, bevor es überhaupt trop einem Login de Windoof venez....


> cela fait m.E. aussi une guten Scanner aus, qui ist avant WIN là !!! et Changements z.B. am Systemstart volonté nachgefragt bevor cet zugelassen volonté (comment plan cela magasin eines unbekannten Treibers), si je es ensuite naturellement (aus Unwissenheit ou bien aussi Dummheit ou bien quoi que + subj.) zulasse, ensuite naturellement Gute nuit.

mais nous voulons oui pas sur gute et schlechte Scanner diskutieren, et pas par-dessus,

quand welches AV-Prog aktuell ist, cela wird wird es wohl nie 100-Prozentig donner.



Sei pas traurig, weil je Dir ici so une transport erteilen doit... .


Och, c'est moi gewohnt....

Um la fois wieder zum Anfang zurück trop venons:
pourquoi soll car cela, quoi du avant la hâte (den calculateur trop bestimmter Zeit débrancher ou bien so) überhaupt par cela injecter einer Anderen Anwendung avoir lieu ??
Würde es là pas suffire, (D)un Programme simple (avant dem Taskmanager) trop verstecken ??
 
Grüße aus Sachsen... Mario
WinXP, Win7 (64 Bit),Win8(.1),Win10, Win 11, Profan 6 - X4, XPSE, und 'nen schwarzes, blinkendes Dingens, wo ich das alles reinschütte...
08.03.2009  
 




Andre
Rohland
@Mario:

... malheureusement plan pas simple...
Einen Prozess sous WinXP trop verstecken allez meines Wissens seulement sur API-Hooking ( via IAT-Patching ) ou bien DKOM ( Direct Kernel Object Manipulation ) par cela Verbiegen de Zeigern dans qui doppelten Verkettung qui EPROCESS-Strukturen, alors par Rootkittechnologie, quoi meist par Treiberprogrammierung erledigt wird. qui probabilité, dass Antiviren-Software Alarm schlägt, ist alors très hoch... 

autre Gründe sommes:
1.) Systemweite Hooks peut sich aussi assez négative sur qui Systemleistung auswirken.
2.) mon Kontrollprogramm hat une ( naturellement passwortgeschützte ) Benutzeroberfläche, avec cela je Zeitvorgaben changement peux, bzw. dans den vacances cela Programme vollständig désactiver peux. Es soll alors sichtbar son ( seulement plan pas qui Routine, qui es überwacht )!
encore plus Gründe habe je déjà plus dessus Spezialfall ? genannt.

si Du qui InjectCodeTest.exe gestartet la hâte et wartest, jusqu'à vous sich finissez hat, wirst Du qui laufende ASM-Routine pas sous Prozessen im XP-Taskmanager trouver, vous est sich oui dans einem qui bereits angezeigten laufenden Prozesse.

Lediglich pour qui Zeit qui Anzeige qui Messagebox wird qui Routine sous Anwendungen im XP-Taskmanager comme Caption angezeigt, quoi daran liegt, dass un Fenêtre aufgemacht wird.

mon ASM-Kontrollroutine ( exakt qui gleiche, comment dans injection.rare ) verwendet toutefois ne...aucune la fenêtre...

avec qui Injizierung dans un beim Systemstart ausgeführtes Programme ( beispielsweise un Chatprogramm ) ist Ma routine droite bien aufgehoben et comme solche aussi pas sichtbar.

Salut
André
 
09.03.2009  
 




Zum Buch


Topictitle, max. 100 marque.
 

Systemprofile:

ne...aucune Systemprofil angelegt. [anlegen]

XProfan:

 Posting  Font  Smilies  ▼ 

s'il te plaît s'inscrire um une Beitrag trop verfassen.
 

Options du sujet

26.417 Views

Untitledvor 0 min.
p.specht17.06.2019
kustg10.05.2019
Walter30.10.2018
Ernst18.03.2016
plus...

Themeninformationen



Admins  |  AGB  |  Applications  |  Auteurs  |  Chat  |  protection des données  |  Télécharger  |  Entrance  |  Aider  |  Merchantportal  |  Empreinte  |  Mart  |  Interfaces  |  SDK  |  Services  |  Jeux  |  cherche  |  Support

un projet aller XProfaner, qui il y a!


Mon XProfan
Privé Nouvelles
Eigenes Ablageforum
Sujets-La liste de voeux
Eigene Posts
Eigene Sujets
Zwischenablage
Annuler
 Deutsch English Français Español Italia
Traductions

protection des données


Wir verwenden Cookies seulement comme Session-Cookies à cause de qui technischen Notwendigkeit et chez uns gibt es aucun Cookies de Drittanbietern.

si du ici sur unsere Webseite klickst ou bien navigierst, stimmst du unserer Erfassung de Informationen dans unseren Cookies sur XProfan.Net trop.

Weitere Informationen trop unseren Cookies et en supplément, comment du qui Kontrolle par-dessus behältst, findest du dans unserer nachfolgenden Datenschutzerklärung.


d'accordDatenschutzerklärung
je voudrais keinen Cookie