Foro de elhacker.net

Es una clase para ocultar librerias en tu propio proceso, se puede modificar para usar con inyeccion o hacerlo remotamente. Usen Process Explorer o algo similar para ver las librerias cargadas en mem y comprovar que se ocultan.

http://uploading.com/files/CIN6X71E/Hide DLL.rar.html

Como ya te dije en HH buen trabajo ;D

Se puede modificar para que modifique esto en algunos procesos... haciendo así tu inyección DLL invisible... o al menos eso creo :P

PD:Deberías actualizar tu web :-\ :P

Sip, exactamente =D

Mi pagina...... si la voy a arreglar. Tengo que juntar todo el source que postie por ahi primero.

Muy bueno , y gracias nesecitava en ejemplo de como hacer eso y no encontre mucho desde hace algun tiempo ,,,,, ; )p

Esta bien, pero fijate que aunque la escondas del peb..... prueba a usar EnumProcessModules y divide entre 4 el parametro cb y veras como algo no cuadra :).

Lo que no cuadra es la cuenta... osea, te salen mas de las que ves... pero creo que no puedes hacer nada mas...

A ver... voy a probar :P

mmm a ver no capto...

Declare Function EnumProcessModules Lib "PSAPI.DLL" (ByVal hProcess As Long, ByRef lphModule As Long, ByVal cb As Long, ByRef cbNeeded As Long) As Long

cbNeeded devuelve 60 / 4 = 15 que son los modulos que veo con Process Explorer, de que me perdi aca? xD

lo que te digo es que aunque veas 8 por ejemplo la division te va  a dar 9 si escondes uno....... ¿que quiero decir con esto? que huele mucho a "raro".


¿como que no puedes hacer nada mas? puedes hacer todo, ya que tienes la base de la dll, puedes incluso descargar las dll ocultas en tu proceso. simplemente se esconde de la lista apuntandola a la siguiente, pero esto no te bloquea el acceso.

No pasa nada, es simplemente que no es tan invisible como parece.

Bien, la verdad no veo lo que decis, comprendo lo que planteas pero llamo a EnumProcessModules y cbNeeded devuelve la cantidad de bytes que se necesitan para listar las librerias correcto? bien, divido la cantidad por 4 y me da el numero de librerias. Ahora hago esto antes y despues de "ocultar" una libreria y lo que veo es que cbNeeded es 4 bytes menos que antes de ocultar la libreria.. lo que quiere decir que hay una menos en la lista.

Podrias poner un ejemplo de lo que estas planteando porque no logro reproducirlo.

EDIT: Aca esta un test que hice, no veo la diferencia excepto por la libreria oculta.

http://uploading.com/files/QX1YSWAD/Hide DLL.rar.html

Muy bueno, como le estas dando masa a estos movimientos de memoria, una pregunta un poco fuera de este ejemplo, de esta forma se podra obtener si la aplicacion esta aplicando los temas de xp, UxTheme.dll, no encontre ninguna api que me informe de esto pero capas que mirando en la memoria del ejecutable se pueda¿?¿?

Saludos

ante todo muy bueno cobein por estos codigos, se ve que te gusta este tema  ::)...

Leandro, me intereso el tema ese de los estilos y estuve buscando (me inmagino que tambien habras encontrado lo mismo que yo) pero encontre algunas api's dentro de esa dll que capas puedan obtener eso que queres...te paso algunos links que encontre fijate si podes sacar algo util y si ya los viste, pues dejalos...algunos no estan directamente en visual basic 6 pero se pueden sacar las ideas...hay funciones interesantes dentro de esta dll...

Check to see if Visual Styles are enabled (http://addressof.com/blog/archive/2004/02/15/400.aspx)

Windows XP Visual Styles (Themes) (http://addressof.com/blog/posts/384.aspx)

IsThemeActive call (uxtheme.dll) (http://social.msdn.microsoft.com/Forums/en-US/windowsuidevelopment/thread/6fe5e438-f74b-4ba2-9d1b-fc352e42aab3)

VB6 XP Themes support. (http://social.msdn.microsoft.com/Forums/en-US/isvvba/thread/6fe115a7-3caa-4571-97d1-95212596a246)

saludos.

Hola Seba gracias por los link los estuve chequeando y las funciones solo devuelven si estan corriendo los theme en el systema pero lo que yo quiero saber es si en mi aplicacion estan corriendo los theme , lo unico que pude ver revisando la memoria es que si estan corriendo si o si esta dll esta cargada "Shlwapi.dll", pero bien puede que esta dll este cargada y no estar corriendo los theme en mi aplicacion.

if GetModuleHandle("Shlwapi.dll") then
     msgbox "probablemente si..."
else
    msgbox "Segurisimo que no"
end if

no encontre otra cosa que indique esto.

LeandroA mirate esto a ver si es lo que buscas
http://msdn.microsoft.com/en-us/library/bb759809(VS.85).aspx

si en realidad esta funcion devuelve un valor afirmativo ya que los borde de los formularios aplican los theme pero no en los controles.

Saludos

Perdon por traer esto de vuelta, pero sigo esperando una respuesta, tengo que corregir algo o etaban hablando por hablar?

proba el ejemplo de cobein, el ultimo.. fijate que no es como vos decis. luego de ocultarla, aparece una menos.

saludos

A mi me funciona perfectamente.... ;D

Por cierto xD, para ser un test te lo has currao Cobein :xD :xD

PD:Me toco descargar con el IEXPLORE... la pagina esa no va con FF... te recomiendo usar otra :P

Hola si,  funciona de 10 , yo lo porove con el WinHex y tampoco la muestra.

Saludos