addhaloka
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. Возможность выгрузки динамических библиотек процесса двумя методами:
1.1. Мягкий метод: Контекстное меню панели отображения DLL
(“Soft Unload”) – попытка выгрузить модуль стандартными средствами Windows;
1.2. Жёсткий метод: Контекстное меню панели отображения DLL
(“Hard Unload”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи –
полное принудительное освобождение секции памяти, занимаемое модулем и последующее принудительное высвобождение виртуальной связанной памяти (помечается аттрибутом Free);
Примечание:
A). При применении “Hard Unload” возможен случай что информация о наличии DLL останется в PEB – структурах процесса, и она будет продолжать отображаться процесс-менеджерами, но в реальности модуль будет гарантированно выгружен из памяти, в чем можно убедиться программами мониторинга виртуальной памяти процессов (например Sysinternals VMMAP от того же Sysinternals).
B). Рекомендуется замораживать или удалять потоки, связанные с выгружаемым модулем, стандартными средствами Process Explorer (лучше убедиться в принадлежности потока какому либо модулю, включив “View All Dll Mode”). Не включил это отдельно т.к. в будущем планируется кое-что добавить.
C). Данная функциональность будет полезна при выгрузке троянских или рекламных Ad Ware –модулей.
2. Возможность анализа и отображения скрытых т.н. Stealth – модулей процесса,(Главное меню: “Options->View All Dll Mode”). При этом отображаются все модули, загруженные в виртуальную память процесса (за исключением модулей, скрытых из режима ядра, но таких я не встречал). Эта опция будет полезна, например для поиска троянских и Ad ware модулей, вирусов и т.д. При включенной данной опции также возможна выгрузка с освобождением памяти не только DLL – модулей (в режиме “Hard Unload”). Опция “View All Dll Mode” включается автоматически при просмотре списка DLL процессов, чьи модули не доступны для отображения в обычной версии Process Explorer (процессы, доступ на чтение виртуальной памяти которых, полностью закрыт из режима ядра; например DrWeb5 и т.д.). При включении опции “View All Dll Mode” потоки скрытого модуля также будут отображаться на вкладке Threads как потоки именно этого модуля, а не как потоки kernel32 или ntdll как было раньше.
Опция “View All Dll Mode” не работает полноценно на Windows XP и Windows2000 без установленных SP, на Vista и Windows7 не тестировалось.
ADD: Автоматическое включение уберу т.к. с Winows7 не удобно.
3. Внедрение любой динамической библиотеки в процесс (Контекстное меню процессов->”Inject DLL”) – без комментариев, т.к. обычный инжект правда с задержкой на выполнение удаленного кода.
4. Возможность загрузки/выгрузки драйверов (использовать осторожно т.к. создает/изменяет ключ реестра, связанный с сервисом, правда по-минимуму).
5. Добавлена возможность сканирования PE-образа файла на упаковщик/протектор или линкер сразу двумя методами (меню Dll-> “Scan PE”). Если ничего не определяется, то ничего не выводится.
6. Добавлена возможность дампа любого модуля, спроецированного не только как Image,но и как проекция Data, на диск. Что бывает полезно при рипе данных, например промапленых файлов, что в других утилитах я лично не встречал. (меню Dll-> “Dump Full”). А с опцией “View All Dll Mode” -это мощный инстумент.
7. Сокрытие любого процесса (в том числе ProcessExplorer) из ядра, драйвер написан, - будет время прикручу.
Разработано, как водится, только в образовательных, ознакомительных, исследовательских и демонстрационных целях, по принципу «как есть» + «никаких гарантий» + «на свой страх и риск».
Проверялось на совместимость с Windows XP(все SP), Windows Server 2003(все SP), Windows 7.
Некоторые вещи не работают в версии Windows XP без SP.
В оригинальном ProcessExplorer изменен лишь 1 байт и ChekSum.
Сертификат безопасности (кому надо) удаляйте сами. Просьба файл не перекладывать. |
Всего записей: 7432 | Зарегистр. 13-11-2010 | Отправлено: 16:53 25-01-2012 | Исправлено: addhaloka, 17:06 25-01-2012 |
|
