Функциональные улучшения для системного монитора Sysinternals Process Explorer v15.13
1. Возможность выгрузки динамических библиотек процесса двумя методами:
1.1. Мягкий метод: Контекстное меню панели отображения DLL
(“Soft Unload”) – попытка выгрузить модуль стандартными средствами Windows;
1.2. Жёсткий метод: Контекстное меню панели отображения DLL
(“Hard Unload”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи –
полное принудительное освобождение секции памяти, занимаемое модулем и последующее принудительное высвобождение виртуальной связанной памяти (помечается аттрибутом Free);
Примечание:
A). При применении “Hard Unload” возможен случай что информация о наличии DLL останется в PEB – структурах процесса, и она будет продолжать отображаться процесс-менеджерами, но в реальности модуль будет гарантированно выгружен из памяти, в чем можно убедиться программами мониторинга виртуальной памяти процессов (например Sysinternals VMMAP от того же Sysinternals).
B). Рекомендуется замораживать или удалять потоки, связанные с выгружаемым модулем, стандартными средствами Process Explorer (лучше убедиться в принадлежности потока какому либо модулю, включив “View All Dll Mode”). Не включил это отдельно т.к. в будущем планируется кое-что добавить.
C). Данная функциональность будет полезна при выгрузке троянских или рекламных Ad Ware –модулей.
2. Возможность анализа и отображения скрытых т.н. Stealth – модулей процесса,(Главное меню: “Options->View All Dll Mode”). При этом отображаются все модули, загруженные в виртуальную память процесса (за исключением модулей, скрытых из режима ядра, но таких я не встречал). Эта опция будет полезна, например для поиска троянских и Ad ware модулей, вирусов и т.д. При включенной данной опции также возможна выгрузка с освобождением памяти не только DLL – модулей (в режиме “Hard Unload”). Опция “View All Dll Mode” включается автоматически при просмотре списка DLL процессов, чьи модули не доступны для отображения в обычной версии Process Explorer (процессы, доступ на чтение виртуальной памяти которых, полностью закрыт из режима ядра; например DrWeb5 и т.д.). При включении опции “View All Dll Mode” потоки скрытого модуля также будут отображаться на вкладке Threads как потоки именно этого модуля, а не как потоки kernel32 или ntdll как было раньше.
Опция “View All Dll Mode” не работает полноценно на Windows XP и Windows2000 без установленных SP, на Vista и Windows7 не тестировалось.
ADD: Автоматическое включение уберу т.к. с Winows7 не удобно.
3. Внедрение любой динамической библиотеки в процесс (Контекстное меню процессов->”Inject DLL”) – без комментариев, т.к. обычный инжект правда с задержкой на выполнение удаленного кода.
4. Возможность загрузки/выгрузки драйверов (использовать осторожно т.к. создает/изменяет ключ реестра, связанный с сервисом, правда по-минимуму).
5. Добавлена возможность сканирования PE-образа файла на упаковщик/протектор или линкер сразу двумя методами (меню Dll-> “Scan PE”). Если ничего не определяется, то ничего не выводится.
6. Добавлена возможность дампа любого модуля, спроецированного не только как Image,но и как проекция Data, на диск. Что бывает полезно при рипе данных, например промапленых файлов, что в других утилитах я лично не встречал. (меню Dll-> “Dump Full”). А с опцией “View All Dll Mode” -это мощный инстумент.
7. Сокрытие любого процесса (в том числе ProcessExplorer) из ядра, драйвер написан, - будет время прикручу.
Разработано, как водится, только в образовательных, ознакомительных, исследовательских и демонстрационных целях, по принципу «как есть» + «никаких гарантий» + «на свой страх и риск».

Проверялось на совместимость с Windows XP(все SP), Windows Server 2003(все SP), Windows 7.
Некоторые вещи не работают в версии Windows XP без SP.
В оригинальном ProcessExplorer изменен лишь 1 байт и ChekSum.
Сертификат (кому надо) удаляйте сами. Просьба файл не перекладывать.

--> PEPlugIn_v15.13 (от 21.02.2012) <--

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Ну самый первый пост читаем! (там даже специально коряво все написано, но внятно)
Просьба файл не перекладывать.
Не в депозите и других приблудах деньгосшибательных дело. У кого IP-шник туда не лезет - те в ЛС меж собой поделятся. Если уж кому очень пишите в ЛС сюда.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Like what does it do?

Just short explanation.

| Сообщение посчитали полезным:

Are you too lazy to take a look a bit up 2 posts above? Or experiencing problems with google translator?

| Сообщение посчитали полезным:

Archer пишет:
with google translator
во и я о чем, нам тут по-русски, мы в танке

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Archer@ check this out. I can speak Russian with translator:
(Lol now I come to Russia and change my British citizen ship for Russian Passport)

Functional improvements to the System Monitor -> Sysinternals Process Explorer v11.33 <-
1. Ability to unload dynamic libraries of two methods:
1.1. Soft method: Context menu display panels DLL
("Soft Unload") - an attempt to unload a module using standard Windows;
1.2. Hard method: Context menu display panels DLL
("Hard Unload") - an attempt to unload the module standard Windows and in case of failure -
full, forced the release of sections in memory module and the subsequent forced release associated virtual memory (labeled attribute Free);
Note:
A). In applying the "Hard Unload" the case is possible that information about the presence of DLL will remain in the PEB - structures, processes, and it will continue to show the process of managers, but in reality the module is guaranteed to be unloaded from memory, which can be seen monitoring programs, virtual memory processes (eg -> Sysinternals VMMAP <- from the same Sysinternals).
B). It is recommended to freeze or remove flows associated with an unloaded module using standard Process Explorer (better make sure what the flow of supplies or modules, including "View All Dll Mode").
C). This functionality will be useful when unloading trojan or promotional Ad Ware-ins.
2. Ability to analyze and display the so-called hidden Stealth - process modules (main menu: "Options-> View All Dll Mode"). This displays all modules loaded into virtual memory of the process (except for modules, hidden from the kernel mode, but these I have not seen). This option will be useful, for example, to search for Trojan and Ad ware modules, viruses, etc. When this option is also possible to upload the release of the memory not only DLL - modules (in the mode of "Hard Unload"). The option "View All Dll Mode" is automatically activated when viewing the list of DLL processes whose modules are not available for display in the normal version Process Explorer (processes read access to virtual memory which is completely enclosed by a kernel-mode, for example DrWeb5, etc.) . If the option "View All Dll Mode" hidden streams module will also be displayed on the tab Threads as streams of this particular module and not as streams kernel32 or ntdll as before.
The option "View All Dll Mode" does not work fully on Windows XP and Windows2000 systems without SP, on Vista and Windows7 not tested.
3. The introduction of any dynamic library in the process (Context menu processes-> "Inject DLL") - without comment.
4. Ability to load / unload drivers (use cautiously because it creates / modifies registry keys associated with the service, though in a minimum).
5. Added the ability to scan the image of PE-file on the packer / protector or a linker with two methods (menu Dll-> "Scan PE"). If nothing is defined, then nothing is displayed.
6. Added ability to dump any module as projected not only as an Image, but also as the projection of the Data, to the disk. What is useful in pune data, such promaplenyh files that other utilities I have not personally met. (Menu Dll-> "Dump Full"). And with the option "View All Dll Mode"-a powerful instument.
The kit includes plug-in library TEST_HIDE.DLL, test mode injection and detection razed modules. Immediately after the injection in the process, it is loaded (as are notified), hides (which displays another notification), and publishes periodic signals. in PC speaker system. Her and streams belonging to its virtual memory can be easily detected and unload only mode "View All Dll Mode". Includes a test driver that outputs at the top of the screen randomly shaded colored bar.
Developed, as usual, only in educational, informational, research and demonstration purposes, on an "as-is.

Tested for compatibility with Windows XP (all SP), Windows Server 2003 (all SP), Windows 7.
In the form of a patch that changes in the program only 1 byte. Security Certificate (who need) to remove yourself. Please do not file transfer.
Thank you for helping Clerk'u detailed layout of new devices rulers Windows.
PEPlugIn_v8 + (from 25/01/2010)

Thanks Archer

HiEndsoft@ Скоро мусульмане взорвать ваш танк, как они взорвать американских самолетов в Ираке.Я рад, что у меня только велосипед, а не военной техники. Я выживу день.
Мне жаль американцев и россиян, что они должны умереть за своего президента.

Почему вы не спросите своего президента, управлять танком, чтобы Ирак сам. И Обама должен летать струи Ирак сам.На самом деле я никогда не будет тратить свою жизнь за диктаторов.

| Сообщение посчитали полезным:

HiEndsoft, ты по аккуратнее со словами - видишь, как тебя иностранец не так понял

школьник гавногеймер gta4 совсем уже ох...л

да ты как бы и сам не далеко ушел

| Сообщение посчитали полезным:

че вообще за бойда, просьба к модераторам, и Арчи в частности на тему "ключик" навесить
и по-возможности почистить чтоб "отморозки" не видели.
Gideon Vi пишет:
да ты как бы и сам не далеко ушел
- ну это уж очем?

P.S.:
мелкософт атакует

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft пишет:
во и я о чем, нам тут по-русски, мы в танке

он как бы через гуглогавнопереводчик читает и вот такие перлы от непонимания выдает

gta4 пишет:
HiEndsoft@ Скоро мусульмане взорвать ваш танк, как они взорвать американских самолетов в Ираке.Я рад, что у меня только велосипед, а не военной техники. Я выживу день.Мне жаль американцев и россиян, что они должны умереть за своего президента.Почему вы не спросите своего президента, управлять танком, чтобы Ирак сам. И Обама должен летать струи Ирак сам.На самом деле я никогда не будет тратить свою жизнь за диктаторов.

HiEndsoft пишет:
- ну это уж очем?

а это так и вообще ни тебе - цитата из поста, который удалили

| Сообщение посчитали полезным:

мдя...... Марк Руссинович русский знает?( )
кста исходники данного плагина и приблуд к нему будут опубликованы вскоре здесь мною,
если конечно же нет возражений администрации кряклаба, по след. причинам:
1. - промолчу (ЛП);
2. поддержку не гарантирую далее;
3. некогда;
4. пригодятся нек. нативные ф-ции кому- нибудь.
(комментариев там мало будет, т.к. пишу на одном дыхании , си + асм).

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

HiEndsoft пишет:
Марк Руссинович русский знает?
только сурдоперевод . Все презентации которые я от него слышал он ни разу матом не ругнулся сделал вывод не шпрехает .

HiEndsoft пишет:
кста исходники данного плагина и приблуд к нему будут опубликованы вскоре здесь мною
В любом случае будем ждать.

| Сообщение посчитали полезным:

мож что-то обзора еще накропаю, когда-то начал было, но потом "забил". В первом посте описание подправлено. За ключик на теме спасибо.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Пофиксил ошибки в т.ч. под Windows 7. Ссылка в 1 посте обновлена.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным: Gideon Vi, NikolayD, _ruzmaz_

А что вместо патча хакнутый экзе?

| Сообщение посчитали полезным:

Да, заморачиваться некогда.Времени вообще нет, просто вчера самому под 7-ку понадобилось.. Тем более в procexpl.exe всего 1 байт меняется.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Перезалейте сабж

| Сообщение посчитали полезным:

Nightshade, если вы о сабже из первого поста, то всё качается.
Если депозит не даёт норм скачать, то добавьте перед deposit... 2 буквы s, чтобы ссылка имела вид:
http://SSdepositfiles.com/files/w41cyts3v
А далее в открывшемся окне кликаем по Скачать:


Добавлено:
Чёрт! Плагин то остался, а вот сабж удадили:
Такого файла не существует или он был удален из-за нарушения авторских прав.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

Умник
У меня стоит плаг для оперы save from net helper
https://addons.opera.com/addons/extensions/details/savefromnet-helper/ 1.21/?display=ru
Но удаленные с обменников файлы я качать не умею...

| Сообщение посчитали полезным:

Так сабж идёт вместе с плагином или нужна именно версия 11.33?

| Сообщение посчитали полезным:

Полный комплект ProcessExplorer.rar

| Сообщение посчитали полезным:

This is really good freeware . Thanks

| Сообщение посчитали полезным:

Всё хорошо только vmmap.exe падает, который 608632 29.06.09.

| Сообщение посчитали полезным:

Обновлено до последней версии ProcessExplorer (v15.12), см ссылку в 1 посте.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным: Ratinsh, obfuskator

-->Process Explorer v15.13 <--

| Сообщение посчитали полезным:

обновил в 1 посте до 15.13

-----
продавец резиновых утёнков

| Сообщение посчитали полезным: Gideon Vi, =TS=

Свежей версии+ не появилось ? Текущая - v16.05.

З.Ы. Все линки сдохли.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

глянь Process Hacker (сборка от Victor_VG).

| Сообщение посчитали полезным: soho

Обновлю, но под х86, некогда и лень. Если надо сорцы выложу.

-----
продавец резиновых утёнков

| Сообщение посчитали полезным: VT-x