Функциональные улучшения для системного монитора Sysinternals Process Explorer v15.13
1. Возможность выгрузки динамических библиотек процесса двумя методами:
1.1. Мягкий метод: Контекстное меню панели отображения DLL
(“Soft Unload”) – попытка выгрузить модуль стандартными средствами Windows;
1.2. Жёсткий метод: Контекстное меню панели отображения DLL
(“Hard Unload”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи –
полное принудительное освобождение секции памяти, занимаемое модулем и последующее принудительное высвобождение виртуальной связанной памяти (помечается аттрибутом Free);
Примечание:
A). При применении “Hard Unload” возможен случай что информация о наличии DLL останется в PEB – структурах процесса, и она будет продолжать отображаться процесс-менеджерами, но в реальности модуль будет гарантированно выгружен из памяти, в чем можно убедиться программами мониторинга виртуальной памяти процессов (например Sysinternals VMMAP от того же Sysinternals).
B). Рекомендуется замораживать или удалять потоки, связанные с выгружаемым модулем, стандартными средствами Process Explorer (лучше убедиться в принадлежности потока какому либо модулю, включив “View All Dll Mode”). Не включил это отдельно т.к. в будущем планируется кое-что добавить.
C). Данная функциональность будет полезна при выгрузке троянских или рекламных Ad Ware –модулей.
2. Возможность анализа и отображения скрытых т.н. Stealth – модулей процесса,(Главное меню: “Options->View All Dll Mode”). При этом отображаются все модули, загруженные в виртуальную память процесса (за исключением модулей, скрытых из режима ядра, но таких я не встречал). Эта опция будет полезна, например для поиска троянских и Ad ware модулей, вирусов и т.д. При включенной данной опции также возможна выгрузка с освобождением памяти не только DLL – модулей (в режиме “Hard Unload”). Опция “View All Dll Mode” включается автоматически при просмотре списка DLL процессов, чьи модули не доступны для отображения в обычной версии Process Explorer (процессы, доступ на чтение виртуальной памяти которых, полностью закрыт из режима ядра; например DrWeb5 и т.д.). При включении опции “View All Dll Mode” потоки скрытого модуля также будут отображаться на вкладке Threads как потоки именно этого модуля, а не как потоки kernel32 или ntdll как было раньше.
Опция “View All Dll Mode” не работает полноценно на Windows XP и Windows2000 без установленных SP, на Vista и Windows7 не тестировалось.
ADD: Автоматическое включение уберу т.к. с Winows7 не удобно.
3. Внедрение любой динамической библиотеки в процесс (Контекстное меню процессов->”Inject DLL”) – без комментариев, т.к. обычный инжект правда с задержкой на выполнение удаленного кода.
4. Возможность загрузки/выгрузки драйверов (использовать осторожно т.к. создает/изменяет ключ реестра, связанный с сервисом, правда по-минимуму).
5. Добавлена возможность сканирования PE-образа файла на упаковщик/протектор или линкер сразу двумя методами (меню Dll-> “Scan PE”). Если ничего не определяется, то ничего не выводится.
6. Добавлена возможность дампа любого модуля, спроецированного не только как Image,но и как проекция Data, на диск. Что бывает полезно при рипе данных, например промапленых файлов, что в других утилитах я лично не встречал. (меню Dll-> “Dump Full”). А с опцией “View All Dll Mode” -это мощный инстумент.
7. Сокрытие любого процесса (в том числе ProcessExplorer) из ядра, драйвер написан, - будет время прикручу.
Разработано, как водится, только в образовательных, ознакомительных, исследовательских и демонстрационных целях, по принципу «как есть» + «никаких гарантий» + «на свой страх и риск».

Проверялось на совместимость с Windows XP(все SP), Windows Server 2003(все SP), Windows 7.
Некоторые вещи не работают в версии Windows XP без SP.
В оригинальном ProcessExplorer изменен лишь 1 байт и ChekSum.
Сертификат (кому надо) удаляйте сами. Просьба файл не перекладывать.

--> PEPlugIn_v15.13 (от 21.02.2012) <--

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

DEL

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Спасибо (удобно).
Ты реверсил тока эту версию? или по сигнатурам врезаешся?

| Сообщение посчитали полезным:

DEL

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

депозит - это жесть убогая. Плагины отлично аттачатся прям сюда.

| Сообщение посчитали полезным:

Del

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Чет у меня инжект не работает, вместо этого включаеться View All Dll Mode

| Сообщение посчитали полезным:

Dem0n1C пишет:
вместо этого включаеться View All Dll Mode
Подправлю.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft XP Professional SP 2 Plus

| Сообщение посчитали полезным:

Вместо инжекта переключается "View All dll" .На Windows XP Pro SP3 и на Vist'е

| Сообщение посчитали полезным:

Спасибо, баг исправил. Ссылка выше исправлена. Просьба протестить на висле.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft
перед патчем удаляй цифровую подпись у файла
(удалить Цифровую подпись файла procexp.exe с помощью программы ImageRemCert, которую я выкладывал в топике Как удалить сертификат безопасности)

-----
EnJoy!

| Сообщение посчитали полезным:

Тестирую на висте. Инжект работает! Но не могу найти никак TEST_HIDE.DLL в библиотеках. В тредах после инжекта твоей тестовой библиотеки появляется поток daemon.dll+0x390. Он успешно суспендится и киляется, но найти ее не могу ни в нижнем окне, ни поиском (ни "daemon", ни "TEST_HIDE"). И ProcessExplorer с плагином ведет себя на висте нестабильно. Порой зависает или перестает обновляться.

Дополню:

На Висте в режиме "View all DLL" нижнее окно dll абсолютно чистое (поэтому я там ничего и не нашёл .Я просто не разобрался сразу, в каком режиме работаю... Было бы неплохо, чтобы напротив "View all DLL" галочка появлялась, когда он работает.

Что интересно: когда этот режим включен, на висте тред определяется как "TEST_HIDE", а когда выключен -" daemon".

| Сообщение посчитали полезным:

> Инжект работает!
ну конечно, если приложение его позволяет исполнить.

| Сообщение посчитали полезным:

На Windows XP SP3 ProcessExplorer работает стабильно,появляется поток Test_hide.dll+0x390, но у меня другой баг: при первой попытке выгрузки dll всё OK, но при повторении почему-то выгружается dll, которая находится в окне на 5 пунктов ниже чем та, которую хочу выгрузить.

| Сообщение посчитали полезным:

Sawe4kin1 пишет:
Тестирую на висте. Инжект работает! Но не могу найти никак TEST_HIDE.DLL в библиотеках. В тредах после инжекта твоей тестовой библиотеки появляется поток daemon.dll+0x390. Он успешно суспендится и киляется, но найти ее не могу ни в нижнем окне, ни поиском (ни "daemon", ни "TEST_HIDE"). И ProcessExplorer ведет себя нестабильно. Порой зависает или перестает обновляться
Daemon tools - это вообще что-то из области виртуальных CDROM...
По данному вопросу: режим "Options->View All Dll Mode”. Про висту не знаю,видел только на картинках

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Sawe4kin1 пишет:
которая находится в окне на 5 пунктов ниже чем та, которую хочу выгрузить
-Этот баг(кто не без этого) был с самого начала (обнаружил недавно), скоро(может сегодня) исправлю.
Что интересно: когда этот режим включен, на висте тред определяется как "TEST_HIDE", а когда выключен -" daemon" TEST_HIDE.dll будет виден только при вкл. режиме. А daemon - это из Daemon Tools.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Извиняюсь! Понял! Поток скрытого модуля отображается неверно, т.е. как поток другого модуля (не обязательно системного).

Для того, чтобы понять, пришлось найти на диске модуль daemon.dll (действительно, Daemon Tools Lite!), переименовать его на время, перезагрузиться и повторить всё сначала. Сейчас этот поток отображается как ntdll.

| Сообщение посчитали полезным:

Пожелания учтены, ошибки исправлены (см. ссылку на версию 4 от 05.03.2009 в самом первом посте).

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Под висту кто-нибудь пробовал?
(обновил до версии 5 - см. самый первый пост)

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Переложите на другой обменник - rapidshare.com, 4shared.com... Или может тут податачить?

-----
старый пень

| Сообщение посчитали полезным:

HiEndsoft пишет:
Под висту кто-нибудь пробовал?
Да, пробовал, все не смотрел, но View All Dll Mode не пашет, или я не понял, как ее юзать, ставлю галку в меню, жму на любой процесс левой кнопкой, внизу на панельке с DLL Modules ничего нет. Галку убираю, сразу появляется куча модулей.

PEPlugIn_v4.7z:
dump.ru/file/1971648
rapidshare.com/files/207269093/PEPlugIn_v4.7z.html

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Добавлена возможность загрузки/выгрузки драйверов.
(См. самый первый пост).

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft
По поводу висты - я не правильно юзаю плаг, или правда косяк?

P.S. еле-еле скачал с немецкой рапиды.
перезалил на дамп, чтобы народ не мучался:
dump.ru/file/2278687

P.P.S: в pdfнике написано "View All Dll Mode", а в самом проц експлорере - Full Dll View Mode.
P.P.P.S: в окошке о плагине лучше сделать три кнопки и написать - нажмите No, чтобы открыть хэлп или Cancel, чтобы закрыть это окно, а то при закрытии окошка эбаут всегда открывается pdfник.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

ОК,подправил. Что касается висты-её у меня нет.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Дык я правильно все делал для включения "View All Dll Mode"?
А на счет Висты нету - можно же виртуалку юзать для отладки...

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Добавлена расшифровка ошибок (например теперь при невозможности выгрузить/загрузить драйвер будет писать причину, а не просто возвращать NtStatus), может поможет при адаптации под висту.
См. ссылку в самом первом посте.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft
Выложи на multi-up.com/ PEPlugIn_v6.1 (от 23.03.2009)

| Сообщение посчитали полезным:

ОК перезалил.
По поводу висты- примерно догадываюсь в чем дело,может быть установлю у себя и адаптирую под нее.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Кстати многие антивирусы (например AVZ) по-прежнему в упор не видят stealth dll.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным: