| |
| |
|
 | Ausgelesen avec ModHunter sous Windows98:
Version Windows: Windows98 ( A )
Prozessdaten:
Prozessname=C:WINDOWSSYSTEMMSGSRV32.EXE
Prozess-ID=-56225
Prozesserzeuger=
Modulname=C:WINDOWSSYSTEMMPR.DLL
Ladeadresse=2143223808
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMUSER32.DLL
Ladeadresse=-1074462720
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMGDI32.DLL
Ladeadresse=-1074659328
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMADVAPI32.DLL
Ladeadresse=-1075314688
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=C:WINDOWSSYSTEMKERNEL32.DLL
Ladeadresse=-1074331648
Ladestatus=geladen
Hersteller=Microsoft Corporation
Modulname=unbekannt
Ladeadresse=-1341456384
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1163264000
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1078525952
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1075904512
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1075707904
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1075445760
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1075380224
Ladestatus=Memory-Modul
Hersteller=
Modulname=unbekannt
Ladeadresse=-1074921472
Ladestatus=Memory-Modul
Hersteller=
Könnten qui ici comme Memory-Module Dinge wohl Treiber son  . |
|
| |
| |
| |
|
|
| | cela Modul avec qui Adresse -1341456384 sieht aus comment qui nvdd32.dll - et qui pourrait trop meiner Grafikkarte gehören . |
|
| |
| |
| |
|
|
| et Adresse -1074921472 scheint trop einer 20kB grand NTDLL.DLL trop passen, qui sich dans mon Windows Systemordner est. sembler alles Windows-System-DLls trop son.
Woher venons cet DLL et comment wurden qui geladen? pourquoi sommes qui unsichtbar, si on qui DLL sur qui ToolHelp Funktionen listet??? |
|
| |
| |
| |
|
|
| | Hat quelqu'un d'autre de euch la fois irgenwas geschrieben, quoi Module eines Prozesses avec den ToolHelp Funktionen (CreateToolhelp32Snapshot /Module32First/Module32Next) listet, avec cela je avec cela la fois testen peux, si cette Code alle Module anzeigt???? |
|
| |
| |
| |
|
|
| peut-être hat oui la fois quelqu'un Lust, cela dessus angesprochene sous Windows2000/XP trop construire? j'ai im Augenblick den impression, Microsoft versteckt là exprès quelque chose, um bestimmte Sachverhalte avant dem User et dem Programmierer trop verschleiern.  |
|
| |
| |
| |
|
|
| Nö Andreas,  là wird rien versteckt ou bien verschleiert - mais j'ai maintenant une Vermutung, woher cet Module venons et comment vous geladen volonté. Schreibe encore Code, um cela trop beweisen ou bien trop widerlegen. |
|
| |
| |
| |
|
|
| Bingo!
ici ist Code:
KompilierenMarqueSéparationDEF @GetModuleHandle(1) !KERNEL32,GetModuleHandleA
DEF @GetProcAddress(2) !KERNEL32,GetProcAddress
Declare Module2$,Module$,HModule&,Funktion&,Funktion$,Zero&,FileInfoSize&
LET Module$=VERSION
LET Module2$=$SYSPATH+KERNEL32.DLL
LET FUNKTION$=GetFileVersionInfoSizeA
Windowstyle 31
Windowtitle Call ohne Handle!
Window 0,0-640,440
Print Handle der Version.dll vor dem Laden: +@str$(@GetModuleHandle(@addr(Module$)))
Print
LET HModule&=@UseDll(VERSION)
Print Handle der geladenen Version.dll: +@str$(@GetModuleHandle(@addr(Module$)))
Print
LET FUNKTION&=@GetProcAddress(HModule&,@addr(Funktion$))
Print Funktionsadresse von +FUNKTION$+: +@str$(FUNKTION&)
LET FileInfoSize&=@Call(FUNKTION&,@ADDR(Module2$),@ADDR(Zero&))
Print FileInfoSize von Kernel32.dll vor dem Entladen: +@str$(FileInfoSize&)
Freedll HModule&
Print Handle der Version.dll nach dem Entladen: +@str$(@GetModuleHandle(@addr(Module$)))
Clear FileInfoSize&
$B Vor Call
LET FileInfoSize&=@Call(FUNKTION&,@ADDR(Module2$),@ADDR(Zero&))
$B Nach Call
Print
Print FileInfoSize von Kernel32.dll nach dem Entladen: +@str$(FileInfoSize&)
Print Handle der Version.dll nach dem Call: +@str$(@GetModuleHandle(@addr(Module$)))
Print
While 1
Waitinput
Wend
cette Code pourrait sur allen NT basierenden Systemen (NT/2000/XP) abstürzen, sur allen pas-NT basierenden Systemen (95/98/ME) mais marcher.
si cela irgendwo sous 95/98/ME pas marcher sollte, bräuchte je la fois cela retour Handle qui geladenen Version.dll .
wohin hauts hin, wohin pas??? |
|
| |
| |
| |
|
|
| Behauptung füt Windows95/98/ME:
Solange irgendein Prozess fonctionne, qui qui Version.dll sur LoadLibrary (...) geladen hat, fonctionne qui obige Code - hat ne...aucune Prozess qui Version.dll geladen, stürzt qui Code ab. |
|
| |
| |
| |
|
|
Frank
Abbing | | Stimmt, schmiert ab sous XP... |
|
| |
| |
| |
|
|
 | cela peut large blicken... nonNTs sommes quasi périlleux  |
|
| |
| |
| |
|
|
| iF
cela peut large blicken... nonNTs sommes quasi périlleux
c'est sowieso qui le cas, là absolu rien abgesichert ist. ici ca va mir mais plutôt à Gestion de la mémoire et um une état des choses, qui sous NT-Systemen unsichtbar ist, là là cela là seulement Treiber betrifft (ou bien betreffen peux).
und dir ici aussi seulement um entier bestimmte Module et pas um alle! |
|
| |
| |
| |
|
|
| suis je la fois gespannt quoi Du comme unser Windows-Detektiv ici herausbekommst.  |
|
| |
| |
| |
|
(1.109)
Deutsch
English
Français
Español
Italia