 Autor
|
Tema: Hide DLL [SRC] (Leído 6,082 veces)
|
|
cobein
|
Es una clase para ocultar librerias en tu propio proceso, se puede modificar para usar con inyeccion o hacerlo remotamente. Usen Process Explorer o algo similar para ver las librerias cargadas en mem y comprovar que se ocultan. http://uploading.com/files/CIN6X71E/Hide DLL.rar.html
|
|
|
|
|
En línea
|
|
|
|
Karcrack
 Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Como ya te dije en HH buen trabajo  Se puede modificar para que modifique esto en algunos procesos... haciendo así tu inyección DLL invisible... o al menos eso creo  PD:Deberías actualizar tu web 
|
|
|
|
|
En línea
|
|
|
|
|
cobein
|
Sip, exactamente =D
Mi pagina...... si la voy a arreglar. Tengo que juntar todo el source que postie por ahi primero.
|
|
|
|
|
En línea
|
|
|
|
locot3
Desconectado
Mensajes: 74
|
Muy bueno , y gracias nesecitava en ejemplo de como hacer eso y no encontre mucho desde hace algun tiempo ,,,,, ; )p
|
|
|
|
|
En línea
|
|
|
|
bizco
Desconectado
Mensajes: 698
|
Esta bien, pero fijate que aunque la escondas del peb..... prueba a usar EnumProcessModules y divide entre 4 el parametro cb y veras como algo no cuadra  . |
|
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Esta bien, pero fijate que aunque la escondas del peb..... prueba a usar EnumProcessModules y divide entre 4 el parametro cb y veras como algo no cuadra . Lo que no cuadra es la cuenta... osea, te salen mas de las que ves... pero creo que no puedes hacer nada mas... A ver... voy a probar
|
|
|
|
|
En línea
|
|
|
|
|
cobein
|
mmm a ver no capto...
Declare Function EnumProcessModules Lib "PSAPI.DLL" (ByVal hProcess As Long, ByRef lphModule As Long, ByVal cb As Long, ByRef cbNeeded As Long) As Long
cbNeeded devuelve 60 / 4 = 15 que son los modulos que veo con Process Explorer, de que me perdi aca? xD
|
|
|
|
|
En línea
|
|
|
|
bizco
Desconectado
Mensajes: 698
|
lo que te digo es que aunque veas 8 por ejemplo la division te va a dar 9 si escondes uno....... ¿que quiero decir con esto? que huele mucho a "raro". pero creo que no puedes hacer nada mas... ¿como que no puedes hacer nada mas? puedes hacer todo, ya que tienes la base de la dll, puedes incluso descargar las dll ocultas en tu proceso. simplemente se esconde de la lista apuntandola a la siguiente, pero esto no te bloquea el acceso. No pasa nada, es simplemente que no es tan invisible como parece. |
|
|
|
|
En línea
|
|
|
|
|
cobein
|
Bien, la verdad no veo lo que decis, comprendo lo que planteas pero llamo a EnumProcessModules y cbNeeded devuelve la cantidad de bytes que se necesitan para listar las librerias correcto? bien, divido la cantidad por 4 y me da el numero de librerias. Ahora hago esto antes y despues de "ocultar" una libreria y lo que veo es que cbNeeded es 4 bytes menos que antes de ocultar la libreria.. lo que quiere decir que hay una menos en la lista. Podrias poner un ejemplo de lo que estas planteando porque no logro reproducirlo. EDIT: Aca esta un test que hice, no veo la diferencia excepto por la libreria oculta. http://uploading.com/files/QX1YSWAD/Hide DLL.rar.html |
|
|
|
« Última modificación: 9 Junio 2009, 00:08 am por cobein »
|
En línea
|
|
|
|
|
LeandroA
|
Muy bueno, como le estas dando masa a estos movimientos de memoria, una pregunta un poco fuera de este ejemplo, de esta forma se podra obtener si la aplicacion esta aplicando los temas de xp, UxTheme.dll, no encontre ninguna api que me informe de esto pero capas que mirando en la memoria del ejecutable se pueda¿?¿?
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
 |
