addhaloka
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1. Возможность выгрузки динамических библиотек процесса двумя методами: 1.1. Мягкий метод: Контекстное меню панели отображения DLL (“Soft Unload”) – попытка выгрузить модуль стандартными средствами Windows; 1.2. Жёсткий метод: Контекстное меню панели отображения DLL (“Hard Unload”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи – полное принудительное освобождение секции памяти, занимаемое модулем и последующее принудительное высвобождение виртуальной связанной памяти (помечается аттрибутом Free); Примечание: A). При применении “Hard Unload” возможен случай что информация о наличии DLL останется в PEB – структурах процесса, и она будет продолжать отображаться процесс-менеджерами, но в реальности модуль будет гарантированно выгружен из памяти, в чем можно убедиться программами мониторинга виртуальной памяти процессов (например Sysinternals VMMAP от того же Sysinternals). B). Рекомендуется замораживать или удалять потоки, связанные с выгружаемым модулем, стандартными средствами Process Explorer (лучше убедиться в принадлежности потока какому либо модулю, включив “View All Dll Mode”). Не включил это отдельно т.к. в будущем планируется кое-что добавить. C). Данная функциональность будет полезна при выгрузке троянских или рекламных Ad Ware –модулей. 2. Возможность анализа и отображения скрытых т.н. Stealth – модулей процесса,(Главное меню: “Options->View All Dll Mode”). При этом отображаются все модули, загруженные в виртуальную память процесса (за исключением модулей, скрытых из режима ядра, но таких я не встречал). Эта опция будет полезна, например для поиска троянских и Ad ware модулей, вирусов и т.д. При включенной данной опции также возможна выгрузка с освобождением памяти не только DLL – модулей (в режиме “Hard Unload”). Опция “View All Dll Mode” включается автоматически при просмотре списка DLL процессов, чьи модули не доступны для отображения в обычной версии Process Explorer (процессы, доступ на чтение виртуальной памяти которых, полностью закрыт из режима ядра; например DrWeb5 и т.д.). При включении опции “View All Dll Mode” потоки скрытого модуля также будут отображаться на вкладке Threads как потоки именно этого модуля, а не как потоки kernel32 или ntdll как было раньше. Опция “View All Dll Mode” не работает полноценно на Windows XP и Windows2000 без установленных SP, на Vista и Windows7 не тестировалось. ADD: Автоматическое включение уберу т.к. с Winows7 не удобно. 3. Внедрение любой динамической библиотеки в процесс (Контекстное меню процессов->”Inject DLL”) – без комментариев, т.к. обычный инжект правда с задержкой на выполнение удаленного кода. 4. Возможность загрузки/выгрузки драйверов (использовать осторожно т.к. создает/изменяет ключ реестра, связанный с сервисом, правда по-минимуму). 5. Добавлена возможность сканирования PE-образа файла на упаковщик/протектор или линкер сразу двумя методами (меню Dll-> “Scan PE”). Если ничего не определяется, то ничего не выводится. 6. Добавлена возможность дампа любого модуля, спроецированного не только как Image,но и как проекция Data, на диск. Что бывает полезно при рипе данных, например промапленых файлов, что в других утилитах я лично не встречал. (меню Dll-> “Dump Full”). А с опцией “View All Dll Mode” -это мощный инстумент. 7. Сокрытие любого процесса (в том числе ProcessExplorer) из ядра, драйвер написан, - будет время прикручу. Разработано, как водится, только в образовательных, ознакомительных, исследовательских и демонстрационных целях, по принципу «как есть» + «никаких гарантий» + «на свой страх и риск». Проверялось на совместимость с Windows XP(все SP), Windows Server 2003(все SP), Windows 7. Некоторые вещи не работают в версии Windows XP без SP. В оригинальном ProcessExplorer изменен лишь 1 байт и ChekSum. Сертификат безопасности (кому надо) удаляйте сами. Просьба файл не перекладывать. | Всего записей: 7432 | Зарегистр. 13-11-2010 | Отправлено: 16:53 25-01-2012 | Исправлено: addhaloka, 17:06 25-01-2012 |
|