Фимка и скрытые модули

Сейчас на форуме: (+6 невидимых)

Посл.ответ	Сообщение
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 26 октября 2016 19:52 · Поправил: r_e · Личное сообщение · #1 Вобщем, есть софт 64 бита, на софте фимка. Я могу проинжектится и делать свои дела изнутри, но... похоже что протектор зеркалит модули и что-то проверяет. Если кто знаком с внутренонстями фимы может расскажете что она делает с зеркальными модулями? Дубликаты видно через ProcessExplorer но не видно через EnumProcessModules. Nt/ZwQuerySystemInformation не работает с Access Violation. Не вдавался в подробности почему. Есть еще способы пройтись по модулям процесса с учетом того что я уже нахожусь внутри процесса? Вопрос №2. Включена опция анти-аттач. Пробовал ScyllaHide с идой - не помогает Anti-Kill. Есть какой проверенный отладчик+плаг, которым можно зацепиться было бы? ----- старый пень

difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 26 октября 2016 19:54 · Личное сообщение · #2 r_e > Nt/ZwQuerySystemInformation не работает с Access Violation. Вам нужен наверно NtAreMappedFilesTheSame, этот сервис проверяет что две проекции соответствуют одному файлу. ----- vx
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 26 октября 2016 21:10 · Личное сообщение · #3 difexacaw Мне нужно вообще найти базы модулей в адресном пространстве процесса (перечислить модули) и получить их имена. Мне не нужно их сравнивать. ----- старый пень
vovanre Ранг: 92.1 (постоянный), 83thx Активность: 0.11↘0 Статус: Участник	Создано: 26 октября 2016 22:13 · Личное сообщение · #4 А случаем в PEB_LDR_DATA их нет?
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 26 октября 2016 22:46 · Личное сообщение · #5 r_e Так наверно нужно не модуля перечислить, а image-проекции. Так как EnumProcessModules() их не находит. Поэтому нужно перечислить регионы ап(по 64K) и получить инфу по проекции, это проверить что она связана с целевым файлом, который загружен как модуль. Это делает сервис выше или можно получить имя файла(MemoryMappedFilenameInformation), но имя будет в нт-формате(\device\harddiskvolume\), его нужно в человеческий вид конвертить. ----- vx
neprovad Ранг: 35.4 (посетитель), 15thx Активность: 0.02↘0 Статус: Участник	Создано: 27 октября 2016 10:58 · Личное сообщение · #6 anti-kill в сцилле не всё знает, известный баг, проверить можно что же конкретно защита испоганила в ntdll по адресам DbgUiRemoteBreakin, DbgUiIssueRemoteBreakin. В случае сомнений можно чекнуть все изменения что есть у процесса утилитой наподобие pchunter с epoolsoft.com \| Сообщение посчитали полезным: r_e
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 27 октября 2016 15:00 · Личное сообщение · #7 Откопал вам древний кодес. 8e23_27.10.2016_EXELAB.rU.tgz - Map.rar ----- vx \| Сообщение посчитали полезным: r_e
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 27 октября 2016 16:19 · Личное сообщение · #8 neprovad То что доктор прописал. Спасибо! ----- старый пень \| Сообщение посчитали полезным: neprovad

Для печати