| |
| |
|
| - page 1 - |
|
 | annonce: Microsoft hat ab Windows2000 qui Meldepflicht pour Prozesse eingeführt! chacun User-Prozess hat gefälligst sur Anfrage seinen genauen Aufenthaltsort unverzüglichst anzugeben! chez besoin peut sämtliche Rechte entzogen et qui Aufenthaltsort polizeilich festgesetzt volonté!
Im Anhang est sich trop diesem Thema un kleines Polizeiprogramm.
mon Frage: comment allez cela?
comme Belohnung pour deviner gibt es schönen leckeren Voir le texte source... |
 | 609 kB | | | Kurzbeschreibung: | Big Brother - Meldepflicht pour Prozesse Version 3 | | | Hochgeladen: | 10.10.2006 | | | Downloadcounter: |  | | | Download |
|
| |
| |
| |
|
| |
| |
| - page 3 - |
|
|
Sebastian
König | [quote-part:80e778690a]non, faux verstanden - mon Programme ist ne...aucune Treiber. cela allez aussi avec Profan pas. Bloß qui Treiber écrivons peux, hats einfacher avec qui Solution. Genauer dit ist cela un Hinweis sur qui DLL, dans qui sich qui API est, qui je là verwende...un très bon Hinweis, avec dem sich cela Rätsel wohl sans Probleme lösen läßt . [/quote-part:80e778690a]Ok, ensuite tippe je la fois sur une qui Nt... ou bien Zw... Funktionen dans qui NTDLL - mais là gibt es wirklich très viele...
ou bien steht cela Verzeichnis womöglich à einer festen Adresse et peux simple avec ReadProcessMemory() ausgelesen volonté?
MfG
Sebastian |
|
| |
| |
| |
|
|
| [quote-part:32d5ba0af9=Sebastian König][quote-part:32d5ba0af9]non, faux verstanden - mon Programme ist ne...aucune Treiber. cela allez aussi avec Profan pas. Bloß qui Treiber écrivons peux, hats einfacher avec qui Solution. Genauer dit ist cela un Hinweis sur qui DLL, dans qui sich qui API est, qui je là verwende...un très bon Hinweis, avec dem sich cela Rätsel wohl sans Probleme lösen läßt . [/quote-part:32d5ba0af9]Ok, ensuite tippe je la fois sur une qui Nt... ou bien Zw... Funktionen dans qui NTDLL - mais là gibt es wirklich très viele...
ou bien steht cela Verzeichnis womöglich à einer festen Adresse et peux simple avec ReadProcessMemory() ausgelesen volonté?
MfG
Sebastian[/quote-part:32d5ba0af9]
trop 1: 100 Punkte.
trop 2: 50% richtig!
Es wird! |
|
| |
| |
| |
|
|
Sebastian
König | Ok, j'ai justement la fois folgendes gemacht:
- Big Brother.exe gestartet
- Visual Studio-Debugger avec dem Big Brother-Prozess verbunden
- Prozess per Debugger angehalten
- Nachgeschaut, wohin cela Modul NTDLL im grenier steht
- Breakpoint sur oui c'est ca cet Adresse gesetzt
- Prozess fortgesetzt
- Im Programme Button angeklickt, ensuite OK, usw...
Ergebnis siehe Bild im Anhang  
je suis pas entier sûrement, pourquoi cela justement cette effet hat . Schätze la fois, dass cela Hinzufügen des Breakpoints irgendwie grenier verschiebt ou bien überschreibt et ensuite alles pas plus stimmt.
comment De toute façon - la fois gucken, quoi on avec qui Funktion so anfangen peux... 
MfG
Sebastian |
|
| |
| |
| |
|
|
| je sag oui, es wird! 
la fois regarder, quoi du là findest...  |
|
| |
| |
| |
|
|
Sebastian
König | Pour une Art Brute-Force-Methode  habe je maintenant folgenden Code erstellt:
KompilierenMarqueSéparation!$H windows.ph
Cls
declare id&
print "ID:",
input id&
declare hProcess&
let hProcess& = ~OpenProcess(~PROCESS_ALL_ACCESS,0,id&)
print hProcess&
declare pMem#,size&
dim pMem#,2048
clear pMem#
whileloop 0,50
if External("NTDLL.DLL","ZwQueryInformationProcess",hProcess&,&loop,pMem#,SizeOf(pMem#),Addr(size&)) = 0
print "OK:",&loop,"-",size&,"Bytes gültig"
whileloop 0,150,2 Vielleicht Unicode-String?
print chr$(byte(pMem#,&loop));
wend
print
endif
wend
dispose pMem#
case hProcess& <> 0 : ~CloseHandle(hProcess&)
WaitKey
end
chez deux Werten de &loop schlägt qui Funktion chez Je ne fehl: 10 (= ProcessLdtInformation) et 27 (= ProcessImageFileName).
cela Ergebnis chez 27 ist zwar gentil, mais ici pas intéressant, denke je la fois.
Bleibt alors encore qui 10: mais quoi est ProcessLdtInformation? et quoi steht dans cette 8 Byte, qui il là lesen peux?
P.S.: qui Namen pour qui Werte habe je aus ntddk.h |
|
| |
| |
| |
|
|
| déjà pas mal - du liegst avec beiden InformationClasses mais sur dem falschen le vapeur.
[quote-part:8e53af89cf]
ProcessLdtInformation Based on le nom, this enum should cause NtQueryInformationProcess to return information about LDT entries for le specified process. Since most Win32 processes dont use le LDT, this enum is of limited use. dans my testing, I quoi unable to get le API to return any LDT-related information for any process (even NTVDM).
[/quote-part:8e53af89cf] |
|
| |
| |
| |
|
|
| là cela un Rätsel ist, à dem sich wohl mancher Informatikprofessor qui Zähne ausbeißen serait, fais je es encore einmal quelque chose einfacher:
Hinweis 5: Dir fehlt un Stichwort - un Stichwort, le moi dans einem Posting ici dans den letzten Tagen gebraucht habe.
Hinweis 6: qui Solution liegt dedans qui ersten 9 InformationClasses. |
|
| |
| |
| |
|
|
Sebastian
König | [quote-part:0251cbd18c]déjà pas mal - du liegst avec beiden InformationClasses mais sur dem falschen le vapeur.[/quote-part:0251cbd18c]
Hmm, seltsam... chez allen anderen InformationClasses schlägt qui Aufruf mais fehl, selbst si je id& = ~GetCurrentProcessId() mets. j'ai alle Werte jusqu'à 100 probiert... |
|
| |
| |
| |
|
|
| [quote-part:493c1cb96b=Sebastian König]Hmm, seltsam... chez allen anderen InformationClasses schlägt qui Aufruf mais fehl, selbst si je id& = ~GetCurrentProcessId() mets. j'ai alle Werte jusqu'à 100 probiert...[/quote-part:493c1cb96b]
cela liegt daran, cela dein Ansatz quelque chose faux ist. ZwQueryInformationProcess ist une äußerst fiese Funktion - qui dans paramètre 4 angegebene Taille qui Struktur doit oui c'est ca stimmen, sonst gejts dans qui Hose.  |
|
| |
| |
| |
|
|
Sebastian
König | [quote-part:6ce9c31e7f]cela liegt daran, cela dein Ansatz quelque chose faux ist. ZwQueryInformationProcess ist une äußerst fiese Funktion - qui dans paramètre 4 angegebene Taille qui Struktur doit oui c'est ca stimmen, sonst gejts dans qui Hose.[/quote-part:6ce9c31e7f]
Aaah - oui, merci! je hatte maintenant gedacht, on muss seulement genügend place bereitstellen et bekommt den nécessaire par den 5. paramètre zurückgeliefert (quoi évident chez 10 et 27 aussi qui le cas ist).
avec place pour justement la fois une individuel LongInt sieht cela Bild jedenfalls déjà entier anders aus: 11 funktionierende Werte. la fois gucken, si là quelque chose dabei ist... |
|
| |
| |
| |
|
|
| | non, malheureusement rien dabei, peux je so déjà dire. |
|
| |
| |
| |
|
|
| So, je voulais seulement encore la fois dire:
cela Mitraten lohnt sich! Pour jeden qui ici miträt (égal si il total danebentippt), wird es pas seulement den Voir le texte source donner, sonder viele, viele plus Infos zur API ZwQueryInformationProcess, qui on sous NT-Systemen bien gebrauchen peux. |
|
| |
| |
| |
|
(1.116)
Deutsch
English
Français
Español
Italia