elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación C/C++ (Moderadores: Eternal Idol, Littlehorse, K-YreX)
| | |-+  Mostrar módulos dll cargados por mi ejecutable.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Mostrar módulos dll cargados por mi ejecutable.  (Leído 2,675 veces)
hexadbg

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Mostrar módulos dll cargados por mi ejecutable.
« en: 2 Julio 2014, 23:22 pm »

Muy buenas tardes foreros, bueno soy iniciando en c++ ando usando visual studio 2010, y decidí unirme a esta comunidad, gracias.

ando desarrollando un anti-injec, que me ayuda a ver si se inyecta una dll. en el ejecutable. el código que uso es este.

void I_loop(){
// Dica: [NOME.extenção] não é case sensitive.
    if (GetModuleHandle("speedhack.dll")    ||
      (GetModuleHandle("speed-hack.dll"))  ||
      (GetModuleHandle("speed-hack.dll"))  ||
      (GetModuleHandle("speed_hack.dll"))  ||
      (GetModuleHandle("hack_speed.dll"))  ||
      (GetModuleHandle("hack-speed.dll"))  ||
      (GetModuleHandle("hackspeed.dll"))   ||
      (GetModuleHandle("hack.dll"))        ||
       (GetModuleHandle("wpepro.dll"))      ||
      (GetModuleHandle("Cr4ck3r.dll"))     ||
      (GetModuleHandle("wpeprospy.dll"))   ||
        (GetModuleHandle("engine.dll"))      ||
      (GetModuleHandle("CheatEngine.dll")) ||
      (GetModuleHandle("c.e.dll"))         ||
      (GetModuleHandle("cheat.dll"))       ||
      // (GetModuleHandle("FoxAnti.dll"))     || 
        (GetModuleHandle("administrador.dll"))        )
   {
                  Injetado();   /*mensaje error y cierra ejecutable*/
   }
    else{
    }
   if(!FindWindow(NULL,"Nada acontece..."))
   {
}
}

Esto me funciona bien uso GetModuleHandle, cuando inyecto una dll, y si esta dentro de la lista, me da el mensaje error, y me vota del ejecutable.

Ahora e decidido mejorar esta función y aqui necesito ayuda.

Como puedo obtener una lista de los modulos dll que ejecutan o carga en mi ejecutable.
Es decir quiero saber que dll son cargadas por mi ejecutable y realizar una lista, entonces cualquier dll con cualquier nombre que no este dentro de esta lista, se cierre el ejecutable.
Estaba pensado en Usar EnumProcessModules, pero no encuentro guías en español lo explique.


En línea

Eternal Idol
Kernel coder
Moderador
***
Desconectado Desconectado

Mensajes: 5.969


Israel nunca torturó niños, ni lo volverá a hacer.


Ver Perfil WWW
Re: Mostrar módulos dll cargados por mi ejecutable.
« Respuesta #1 en: 3 Julio 2014, 07:56 am »

Aprender un minimo de ingles como para entender documentacion tecnica es imprescindible a largo plazo.

Dos formas de hacerlo:
Enumerating All Modules For a Process
Traversing the Module List


En línea

La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
hexadbg

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Mostrar módulos dll cargados por mi ejecutable.
« Respuesta #2 en: 3 Julio 2014, 16:20 pm »

muchas gracias por la respuesta, tomare en cuenta la sugerencia.
solucionado.
En línea

Eternal Idol
Kernel coder
Moderador
***
Desconectado Desconectado

Mensajes: 5.969


Israel nunca torturó niños, ni lo volverá a hacer.


Ver Perfil WWW
Re: Mostrar módulos dll cargados por mi ejecutable.
« Respuesta #3 en: 3 Julio 2014, 16:39 pm »

De nadas  ::)
En línea

La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
Arkangel_0x7C5


Desconectado Desconectado

Mensajes: 361



Ver Perfil
Re: Mostrar módulos dll cargados por mi ejecutable.
« Respuesta #4 en: 3 Julio 2014, 23:23 pm »

Pero ese metodo en general no tiene por que funcionar, por que la dll puede estar camuflada o simplemente que no cargan una DLL

Yo pienso que un metodo mejor seria el de interceptar el punto de entrada de los nuevos hilos y ver si fueron creados dentro de el mismo proceso o no. Tampoco es infalible pero protejera de la mayoria de inyecciones

Saludos
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines