Сейчас на форуме: (+6 невидимых)

 [email protected] —› Протекторы —› Фимка и скрытые модули
Посл.ответ Сообщение

Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 26 октября 2016 19:52 · Поправил: r_e
· Личное сообщение · #1

Вобщем, есть софт 64 бита, на софте фимка.
Я могу проинжектится и делать свои дела изнутри, но... похоже что протектор зеркалит модули и что-то проверяет.
Если кто знаком с внутренонстями фимы может расскажете что она делает с зеркальными модулями? Дубликаты видно через ProcessExplorer но не видно через EnumProcessModules. Nt/ZwQuerySystemInformation не работает с Access Violation. Не вдавался в подробности почему.
Есть еще способы пройтись по модулям процесса с учетом того что я уже нахожусь внутри процесса?

Вопрос №2. Включена опция анти-аттач. Пробовал ScyllaHide с идой - не помогает Anti-Kill. Есть какой проверенный отладчик+плаг, которым можно зацепиться было бы?

-----
старый пень





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 26 октября 2016 19:54
· Личное сообщение · #2

r_e

> Nt/ZwQuerySystemInformation не работает с Access Violation.

Вам нужен наверно NtAreMappedFilesTheSame, этот сервис проверяет что две проекции соответствуют одному файлу.

-----
vx




Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 26 октября 2016 21:10
· Личное сообщение · #3

difexacaw
Мне нужно вообще найти базы модулей в адресном пространстве процесса (перечислить модули) и получить их имена. Мне не нужно их сравнивать.

-----
старый пень




Ранг: 92.1 (постоянный), 83thx
Активность: 0.110
Статус: Участник

Создано: 26 октября 2016 22:13
· Личное сообщение · #4

А случаем в PEB_LDR_DATA их нет?




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 26 октября 2016 22:46
· Личное сообщение · #5

r_e

Так наверно нужно не модуля перечислить, а image-проекции. Так как EnumProcessModules() их не находит. Поэтому нужно перечислить регионы ап(по 64K) и получить инфу по проекции, это проверить что она связана с целевым файлом, который загружен как модуль. Это делает сервис выше или можно получить имя файла(MemoryMappedFilenameInformation), но имя будет в нт-формате(\device\harddiskvolume\), его нужно в человеческий вид конвертить.

-----
vx




Ранг: 35.4 (посетитель), 15thx
Активность: 0.020
Статус: Участник

Создано: 27 октября 2016 10:58
· Личное сообщение · #6

anti-kill в сцилле не всё знает, известный баг, проверить можно что же конкретно защита испоганила в ntdll по адресам DbgUiRemoteBreakin, DbgUiIssueRemoteBreakin. В случае сомнений можно чекнуть все изменения что есть у процесса утилитой наподобие pchunter с epoolsoft.com

| Сообщение посчитали полезным: r_e


Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 27 октября 2016 15:00
· Личное сообщение · #7

Откопал вам древний кодес.

8e23_27.10.2016_EXELAB.rU.tgz - Map.rar

-----
vx


| Сообщение посчитали полезным: r_e

Ранг: 590.4 (!), 408thx
Активность: 0.360.18
Статус: Модератор

Создано: 27 октября 2016 16:19
· Личное сообщение · #8

neprovad
То что доктор прописал. Спасибо!

-----
старый пень


| Сообщение посчитали полезным: neprovad
 [email protected] —› Протекторы —› Фимка и скрытые модули
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати