- Регистрация
- 21.02.2019
- Сообщения
- 271
- Репутация
выходит нужно инжектить .dll в процессы? Это уже руткит какой-то)
Вопрос Защита в реальном времени
- Автор темы Spectrum735
- Дата начала
- Регистрация
- 03.06.2012
- Сообщения
- 6 098
- Репутация
Да если хочешь в юзермоде сделать поведенческий детект, тогда тебе нужно что-то такое:User-mode rootkit for windows: Скрытие файлов и процессов от пользователя
Таким образом, ты можешь захукать нужные функции в каждом процессе и уже понимать что делает именно конкретный процесс.
И-да, это уже руткит.)
- Регистрация
- 03.06.2012
- Сообщения
- 6 098
- Репутация
Может кому пригодится, интересный код, как определить какой процесс подгрузил DLL:
C:
#include <Windows.h>
#include <iostream>
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {
switch (ul_reason_for_call) {
case DLL_PROCESS_ATTACH: {
HANDLE hProcess = nullptr;
DWORD dwProcessId = 0;
if (GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS | GET_MODULE_HANDLE_EX_FLAG_UNCHANGED_REFCOUNT, reinterpret_cast<LPCWSTR>(&DllMain), &hProcess)) {
dwProcessId = GetProcessId(hProcess);
if (dwProcessId != 0) {
WCHAR szProcessName[MAX_PATH];
DWORD dwSize = MAX_PATH;
if (QueryFullProcessImageName(hProcess, 0, szProcessName, &dwSize)) {
// Извлекаем имя файла из полного пути
WCHAR *pszFileName = wcsrchr(szProcessName, L'\\');
if (pszFileName != nullptr) {
std::wcout << L"The process ID loading this DLL is: " << dwProcessId << std::endl;
std::wcout << L"The process name is: " << pszFileName + 1 << std::endl;
} else {
std::cerr << "Failed to extract process name." << std::endl;
}
} else {
std::cerr << "Failed to get process image name." << std::endl;
}
} else {
std::cerr << "Failed to get the process ID." << std::endl;
}
CloseHandle(hProcess);
}
break;
}
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}- Регистрация
- 21.02.2019
- Сообщения
- 271
- Репутация