|
 |
|
Sysinternals Process Explorer v11.33 PlugIn |
|
Добавляет возможность инжекта, загрузки и выгрузки драйверов, DLL, отображение скрытых DLL |
|
Функциональные улучшения для системного монитора -->Sysinternals Process Explorer v11.33<--
1. Возможность выгрузки динамических библиотек процесса двумя методами:
1.1. Мягкий метод: Контекстное меню панели отображения DLL
(“Soft Unload”) – попытка выгрузить модуль стандартными средствами Windows;
1.2. Жёсткий метод: Контекстное меню панели отображения DLL
(“Hard Unload”) – попытка выгрузить модуль стандартными средствами Windows и в случае неудачи –
полное принудительное освобождение секции памяти, занимаемое модулем и последующее принудительное высвобождение виртуальной связанной памяти (помечается аттрибутом Free);
Примечание:
A). При применении “Hard Unload” возможен случай что информация о наличии DLL останется в PEB – структурах процесса, и она будет продолжать отображаться процесс-менеджерами, но в реальности модуль будет гарантированно выгружен из памяти, в чем можно убедиться программами мониторинга виртуальной памяти процессов (например --> Sysinternals VMMAP <-- от того же Sysinternals).
B). Рекомендуется замораживать или удалять потоки, связанные с выгружаемым модулем, стандартными средствами Process Explorer (лучше убедиться в принадлежности потока какому либо модулю, включив “View All Dll Mode”).
C). Данная функциональность будет полезна при выгрузке троянских или рекламных Ad Ware –модулей.
2. Возможность анализа и отображения скрытых т.н. Stealth – модулей процесса,(Главное меню: “Options->View All Dll Mode”). При этом отображаются все модули, загруженные в виртуальную память процесса (за исключением модулей, скрытых из режима ядра, но таких я не встречал). Эта опция будет полезна, например для поиска троянских и Ad ware модулей, вирусов и т.д. При включенной данной опции также возможна выгрузка с освобождением памяти не только DLL – модулей (в режиме “Hard Unload”). Опция “View All Dll Mode” включается автоматически при просмотре списка DLL процессов, чьи модули не доступны для отображения в обычной версии Process Explorer (процессы, доступ на чтение виртуальной памяти которых, полностью закрыт из режима ядра; например DrWeb5 и т.д.). При включении опции “View All Dll Mode” потоки скрытого модуля также будут отображаться на вкладке Threads как потоки именно этого модуля, а не как потоки kernel32 или ntdll как было раньше.
Опция “View All Dll Mode” не работает полноценно на Windows XP и Windows2000 без установленных SP, на Vista и Windows7 не тестировалось.
3. Внедрение любой динамической библиотеки в процесс (Контекстное меню процессов->”Inject DLL”) – без комментариев.
4. Возможность загрузки/выгрузки драйверов (использовать осторожно т.к. создает/изменяет ключ реестра, связанный с сервисом, правда по-минимуму).
В комплект плагина входит библиотека TEST_HIDE.DLL, для тестирования режима инжекта и обнаружения срытых модулей. Сразу после инжекта в процесс она загружается (о чем выводится уведомление),скрывается (о чем выводится еще одно уведомление) и издает периодические сигналы с интервалом ~1 сек. в системный динамик ПК. Её и потоки, принадлежащие её виртуальной памяти легко можно обнаружить и выгрузить только в режиме “View All Dll Mode”.
Так же в комплект добавлен тестовый драйвер, выводящий в верхней части экрана хаотично окрашенную полосу.
Проверялось на совместимость с Windows XP(все SP) и Windows Server 2003.
В виде патча, который меняет в программе лишь 1 байт. Сертификат безопасности (кому надо) удаляйте сами. |
|
Скачать Sysinternals Process Explorer v11.33 PlugIn |
SYSENTER |
|
|