Функциональные улучшения для системного монитора Sysinternals Process Explorer v15.13
1. Возможность выгрузки динамических библиотек процесса двумя методами:
1.1. Мягкий метод: Контекстное меню панели отображения DLL
(“Soft Unload”) – попытка выгрузить модуль стандартными средствами Windows;
1.2. Жёсткий метод: Контекстное меню панели отображения DLL
(“Hard Unload”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи –
полное принудительное освобождение секции памяти, занимаемое модулем и последующее принудительное высвобождение виртуальной связанной памяти (помечается аттрибутом Free);
Примечание:
A). При применении “Hard Unload” возможен случай что информация о наличии DLL останется в PEB – структурах процесса, и она будет продолжать отображаться процесс-менеджерами, но в реальности модуль будет гарантированно выгружен из памяти, в чем можно убедиться программами мониторинга виртуальной памяти процессов (например Sysinternals VMMAP от того же Sysinternals).
B). Рекомендуется замораживать или удалять потоки, связанные с выгружаемым модулем, стандартными средствами Process Explorer (лучше убедиться в принадлежности потока какому либо модулю, включив “View All Dll Mode”). Не включил это отдельно т.к. в будущем планируется кое-что добавить.
C). Данная функциональность будет полезна при выгрузке троянских или рекламных Ad Ware –модулей.
2. Возможность анализа и отображения скрытых т.н. Stealth – модулей процесса,(Главное меню: “Options->View All Dll Mode”). При этом отображаются все модули, загруженные в виртуальную память процесса (за исключением модулей, скрытых из режима ядра, но таких я не встречал). Эта опция будет полезна, например для поиска троянских и Ad ware модулей, вирусов и т.д. При включенной данной опции также возможна выгрузка с освобождением памяти не только DLL – модулей (в режиме “Hard Unload”). Опция “View All Dll Mode” включается автоматически при просмотре списка DLL процессов, чьи модули не доступны для отображения в обычной версии Process Explorer (процессы, доступ на чтение виртуальной памяти которых, полностью закрыт из режима ядра; например DrWeb5 и т.д.). При включении опции “View All Dll Mode” потоки скрытого модуля также будут отображаться на вкладке Threads как потоки именно этого модуля, а не как потоки kernel32 или ntdll как было раньше.
Опция “View All Dll Mode” не работает полноценно на Windows XP и Windows2000 без установленных SP, на Vista и Windows7 не тестировалось.
ADD: Автоматическое включение уберу т.к. с Winows7 не удобно.
3. Внедрение любой динамической библиотеки в процесс (Контекстное меню процессов->”Inject DLL”) – без комментариев, т.к. обычный инжект правда с задержкой на выполнение удаленного кода.
4. Возможность загрузки/выгрузки драйверов (использовать осторожно т.к. создает/изменяет ключ реестра, связанный с сервисом, правда по-минимуму).
5. Добавлена возможность сканирования PE-образа файла на упаковщик/протектор или линкер сразу двумя методами (меню Dll-> “Scan PE”). Если ничего не определяется, то ничего не выводится.
6. Добавлена возможность дампа любого модуля, спроецированного не только как Image,но и как проекция Data, на диск. Что бывает полезно при рипе данных, например промапленых файлов, что в других утилитах я лично не встречал. (меню Dll-> “Dump Full”). А с опцией “View All Dll Mode” -это мощный инстумент.
7. Сокрытие любого процесса (в том числе ProcessExplorer) из ядра, драйвер написан, - будет время прикручу.
Разработано, как водится, только в образовательных, ознакомительных, исследовательских и демонстрационных целях, по принципу «как есть» + «никаких гарантий» + «на свой страх и риск».

Проверялось на совместимость с Windows XP(все SP), Windows Server 2003(все SP), Windows 7.
Некоторые вещи не работают в версии Windows XP без SP.
В оригинальном ProcessExplorer изменен лишь 1 байт и ChekSum.
Сертификат (кому надо) удаляйте сами. Просьба файл не перекладывать.

--> PEPlugIn_v15.13 (от 21.02.2012) <--

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Ну вот, понемногу собирается "инструмент". Ссылку и описание обновил (см. самый первый пост). Много чего добавил.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Кому интересно продолжение инструмента-в ЛС

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

На висте х64 робит эта вещь?

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

не проверял.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

просто на висте (86) у меня незапускается. С ХР все пашет

| Сообщение посчитали полезным:

Много чего добавлено, уже пропатченный
-->8 версия<--

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

под семеркой не запускается, просто висит в процессах. Оригинал работает

| Сообщение посчитали полезным:

Нет у меня семерки и висты.Я же написал что тестил под XP и под Server2003
Возможно дело в ntdll, т.к. использую в основном натив

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft пишет:
Я же написал что тестил под XP и под Server2003

Скачал, попробовал, отписал

| Сообщение посчитали полезным:

перелинковал -->VPR.dll<-- , мож так заработает

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

not work in vista.

| Сообщение посчитали полезным:

в дополнение к теме - встретил утилитку
home.arcor.de/neotracer/index.html
ModuleShark BETA 24-07-2009

| Сообщение посчитали полезным:

Ratinsh Таких утилей чисто по показу stealth-модулей навалом.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Под Windows 7 теперь работает.
Ссылка в 1 посте.
Кое что добавлено, описывать пока некогда.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft пишет:
Под Windows 7 теперь работает

работает спасибо

| Сообщение посчитали полезным:

Небольшое пожелание: Очень часто стало встречаться, что вирусы обнаруживают запуск Process Explorer'а и прибивают его. Можно ли добавить функционал антиобнаружения?
Самые примитивные палят по заголовку и имени процесса, более продвинутые вероятно по внутреннему содержимому.

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
Самые примитивные палят по заголовку и имени процесса, более продвинутые вероятно по внутреннему содержимому.
Может даже по заголовку драйвера, который он извлекает из своих ресурсов.
Добавлю.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

например --> Sysinternals VMMAP <-- от того же Sysinternals
обновите, файл уже удалили

| Сообщение посчитали полезным:

reversecode пишет:
обновите, файл уже удалили
ОК, обновил.
OLEGator пишет:
Можно ли добавить функционал антиобнаружения?
Т.е.:
1. Произвольное имя файла /процесса/;
2. Произвольное имя драйвера;
3. Произвольное имя окна;
4. Залочить процесс pexplorer'a (я сегодня у знакомого вирус поймал, он как раньше водилось цеплялся ко всем процессам, но как не странно даже к антивирусам).
5. Что еще?

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

хм... что-то гдето слышал что по именам ресурсов в исполняемом файле.

-----
AutoIt

| Сообщение посчитали полезным:

Собственно, полноценного лока за глаза.
Вири сейчас либо подменяют механизм обработки exe (ghb запуске любого экзешника запускается вирь вместо него), либо прибивают процесс. С первым бороться разве что с livecd, а против второго нужен только п. 4. Только приложи рядом утиль, которой бы можно было убить сабж, если завис. Или, что лучше, сделай список, в который можно помещать доверенные приложения, которым позволено вмешиваться в procexp.exe

Да, мега важная фича: чтобы окно сабжа принудительно всплывало поверх всех.

| Сообщение посчитали полезным:

OLEGator пишет:
хм... что-то гдето слышал что по именам ресурсов в исполняемом файле.
--тогда криптовать надо (кому надо тот сам справится).

Gideon Vi пишет:
Собственно, полноценного лока за глаза......
--так и сделаю наверное.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Не забудьте про эмуляцию нажатия клавиш, типа зверёк сам нажмёт кнопку закрыть.
Помню на Outpost'e 3.x пинч нажимал "разрешить" на всплывающем окне и сам себя выпуска в инет.

-----
AutoIt

| Сообщение посчитали полезным:

vmmpap валится при старте. На любом процессе...
О себе: XP SP3
Билд с шапки


| Сообщение посчитали полезным:

не совсем понял но:
Sysinternals VMMAP должна быть в папке PlugIn + не помню ссылку в шапке. но вроде как Русинович новый VMMAP выпускал фиксеный. на мелкософте можно скачать.download.sysinternals.com/Files/vmmap.zip
ADD: фичи кое-какие новые добавил пока тестирую, скоро выложу (защиту от обнаружения в виде дрова)
Времени нет праздники...баны...работа.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Перезалейте ссылки в шапке не рабочие.

На этой версии Process Explorer 12.01 плаг будет работать?

| Сообщение посчитали полезным:

ТС погряз в разврате Вернись к нам, мы все простим

| Сообщение посчитали полезным:

Перезалейте пожалуйста, толи ссылки мертвые толи не доступны для моего IP

| Сообщение посчитали полезным:

Обновил ссылку (см. самый первый пост)
NikolayD пишет:
Process Explorer 12.01
патч не помню, но
посмотрел - там в импорте вместо mpr.dll нужно прописать мою vpr.dll
вместо старой версии закинуть и так же в 12.03 все работает. будет время новый патч сделаю, хотя кому надо тот и так поймет как прицепить все что было.
Новая версия плагина пока отложена, т.к. наступила весна...

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft пишет:
Обновил ссылку (см. самый первый пост)


кто может перелейте на rghost пожалуйста.

| Сообщение посчитали полезным: