| Вопрос: Удаление элемента из чужого ListBox'a | Добавлено: 23.12.05 02:17 |
Автор вопроса:  SerJ
|
| Ответы | Всего ответов: 24 |
|
Номер ответа: 16 Автор ответа:  HACKER Разработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #16 | Добавлено: 24.12.05 15:50 |
|
HOOLIGAN, если я внедрю в АП твоего Explorera 1 dll с именем таким же что уже есть, только поменяю пару русский<>английских букв, в этом списке ты заметишь "эту фишку"? Или вообще отфонаря имя придумать, типа "Manifest.dll", врядли кто нить такое заметит...
Кста, FileMon'ил одну игрушку - так она обращается на мою прописанную в реестре ДЛЛку. Но так Class_Initialize и не произошёл...
Ну попробуй прописать в InprocServer32 |
||
|
Номер ответа: 17 Автор ответа: HOOLIGANВопросов: 0 Ответов: 1066 |
Профиль | | #17 | Добавлено: 24.12.05 16:10 |
|
HACKER
Все dll какие подгружены, будут в списке, независимо от того, как они называются. Посмотри тот список, который я привёл: последняя dll (называется NProc.dll) - это моя dll, которую я сам впихиваю в explorer при запуске системы (в ней мои самодельные часы для трея). Так что и твою Manifest.dll будет видно точно так же как и мою NProc.dll, как и kernel32.dll и все остальные подгруженные модули. А видя адрес подгруженного модуля, можно затолкать его в дизассемблер и посмотреть, что там внутри есть. |
||
|
Номер ответа: 18 Автор ответа: SerJ Вопросов: 24 Ответов: 332 |
Профиль | | #18 | Добавлено: 24.12.05 16:48 |
|
Ну попробуй прописать в InprocServer32
Моя ДЛЛка сейчас прописана во всех ветвях реестра, откуда только можна инициировать её загрузку (Включая и InprocServer32). В Class_Initialize стоит msgbox "it's working!!" Но всё-равно этого сообщения я не вижу. ЗЫ. Интересно то. что при попытке выгрузить данную ДЛЛ - программа-киллер сама выгружается  )
|
||
|
Номер ответа: 19 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #19 | Добавлено: 24.12.05 16:54 |
| HOOLIGAN, я не отрицаю что её видно будет, я про то что юзер (и не только, даже я...) непомню то этот список, и если там и добавится что-то похожее на системную dll я врядли что-то заподозрю... | ||
|
Номер ответа: 20 Автор ответа: HOOLIGANВопросов: 0 Ответов: 1066 |
Профиль | | #20 | Добавлено: 24.12.05 17:57 |
| Если есть подозрения, всегда можно проверить подлинность того или иного модуля. Есть утилиты верификаторы, можно проверить контрольные суммы, производителя, цифровые подписи и всякую прочую дрянь. | ||
|
Номер ответа: 21 Автор ответа: SerJВопросов: 24 Ответов: 332 |
Профиль | | #21 | Добавлено: 24.12.05 18:31 |
|
Если есть подозрения, всегда можно проверить подлинность того или иного модуля. Есть утилиты верификаторы, можно проверить контрольные суммы, производителя, цифровые подписи и всякую прочую дрянь.
А разве нельзя те "артефакты" подделать? |
||
|
Номер ответа: 22 Автор ответа: HOOLIGANВопросов: 0 Ответов: 1066 |
Профиль | | #22 | Добавлено: 24.12.05 18:46 |
| Как ты собрался подделывать например crc32? | ||
|
Номер ответа: 23 Автор ответа: SerJВопросов: 24 Ответов: 332 |
Профиль | | #23 | Добавлено: 24.12.05 18:54 |
| Ну против 32 никто не прёт, а, например сертификат? | ||
|
Номер ответа: 24 Автор ответа: SerJВопросов: 24 Ответов: 332 |
Профиль | | #24 | Добавлено: 24.12.05 18:55 |
| ЗЫ. Хотя, много возни. Ради пустяка. | ||