|
You last visited: Today at 00:23
Advertisement
DLL Injection verhindern
Discussion on DLL Injection verhindern within the General Coding forum part of the Coders Den category.
04/03/2012, 15:53
|
#1
|
elite*gold: 0
Join Date: Aug 2009
Posts: 962
Received Thanks: 96
|
DLL Injection verhindern
Hallo ich wollt mal fragen ob es die Möglichkeit gibt was zu programmieren das er überprüft wenn jemand eine dll Injektet in meine eingebundene exe (z.b. metin2) das das Tool das Programm was injectet werden soll sofort schliest??
könnt ihr mir so ein Programm schreiben das ich es nur in meine exe einbinden muss?
|
|
|
04/03/2012, 17:27
|
#2
|
elite*gold: 7110
Join Date: Jun 2009
Posts: 28,904
Received Thanks: 25,394
|
Wie soll man denn ein Programm injizieren und wie soll das geschlossen werden?
Meinst du, dass das Programm (zb. Metin2) geschlossen wird, wenn eine Dll injiziert wird oder dass der Injector geschlossen wird?
Oder dass die Dll wieder rausgeschmissen wird?
Prinzipiell ist es schon möglich, Dll Injection zu erkennen, auch wenn es nicht unmöglich ist, so eine Detection zu umgehen.
|
|
|
04/03/2012, 17:37
|
#3
|
elite*gold: 0
Join Date: Nov 2007
Posts: 99
Received Thanks: 6
|
Hallo,
2 einfache Möglichkeiten:
- Hook auf CreateRemoteThread
- Evaluiere Modul-Liste deines Prozesses und sondere aus
Das kann man jedoch umgehen. Prinzipell ist es sehr schwer eine Injektion zu verhindern.
|
|
|
04/03/2012, 17:56
|
#4
|
elite*gold: 0
Join Date: May 2009
Posts: 827
Received Thanks: 471
|
Quote:
Hook auf CreateRemoteThread
|
>> Über winhook injizieren
Quote:
Evaluiere Modul-Liste deines Prozesses und sondere aus
|
>> api funktionen hooken
Bringt eher nix.
|
|
|
04/03/2012, 18:14
|
#5
|
elite*gold: 7110
Join Date: Jun 2009
Posts: 28,904
Received Thanks: 25,394
|
Quote:
Originally Posted by xNopex
>> api funktionen hooken
|
>> Manuell über den PEB iterieren, anstatt die API zu nutzen
Trotzdem, ein kleiner Handgriff und die Dll verschwindet ganz aus der Modulliste.
|
|
|
04/06/2012, 12:27
|
#6
|
elite*gold: 0
Join Date: Aug 2009
Posts: 962
Received Thanks: 96
|
das das injizierte Programm (Metin2) geschlossen wird.
Leider bin ich kein profi dadrin könnt ihr das als exe oder so machen und ich verbinde das mit der exe
|
|
|
04/06/2012, 14:06
|
#7
|
elite*gold: 0
Join Date: Oct 2008
Posts: 1,637
Received Thanks: 1,119
|
nein. ein schutz der auch wirkung zeigt kostet, jemand der halbwegs ahnung hat kann simple hooks bzw. anti cheat module einfach raus patchen! da kommt man um nen guten crypter der 100wtf/min verursacht nicht drum rum. wenn allerdings auch die checks nicht (einfach) umgangen werden sollen, muss noch ein treiber ran!
|
|
|
04/06/2012, 19:51
|
#8
|
elite*gold: 7110
Join Date: Jun 2009
Posts: 28,904
Received Thanks: 25,394
|
Weil ein Reverser keine Ahnung vom Kernel Mode hat
|
|
|
04/06/2012, 22:46
|
#9
|
elite*gold: 0
Join Date: Oct 2008
Posts: 1,637
Received Thanks: 1,119
|
Quote:
Originally Posted by MrSm!th
Weil ein Reverser keine Ahnung vom Kernel Mode hat
|
das habe ich nie gesagt!
einfach nur mehr arbeit, die unter umständen mit bluescreens unterbrochen werden könnte
|
|
|
04/06/2012, 23:46
|
#10
|
elite*gold: 7110
Join Date: Jun 2009
Posts: 28,904
Received Thanks: 25,394
|
Mehr Arbeit als im Usermode ist es nicht, eher weniger, weil man Treiber i.d.R. nicht packt, anders als normale usermode Binaries.
|
|
|
04/07/2012, 13:10
|
#11
|
elite*gold: 34
Join Date: Apr 2011
Posts: 1,475
Received Thanks: 1,227
|
wärs nicht leichter die injizierte DLL zu entladen ?
FreeLibrary ftw
|
|
|
04/07/2012, 13:37
|
#12
|
elite*gold: 0
Join Date: May 2009
Posts: 827
Received Thanks: 471
|
Quote:
wärs nicht leichter die injizierte DLL zu entladen ?
FreeLibrary ftw
|
|
|
|
04/07/2012, 14:05
|
#13
|
elite*gold: 0
Join Date: Oct 2008
Posts: 1,637
Received Thanks: 1,119
|
wenn einfach das modul entladen wird, würde mein hakk sich einfach manuell (von der DllMain aus) neu laden -> ohne eintrag im peb = versteckt, win?
@MrSm!th: hab garnicht dran gedacht, dass treiber normal im klartext (bzw. in kompilierter form) gelassen werden :|
trotzdem kann man wenn man es richtig anstellt damit relativ guten erfolg haben, user mode hooks lassen sich einfach umgehen, kernel mode ist normalerweise schon etwas komplizierter (es sei denn man pfuscht in der binary rum)
|
|
|
04/07/2012, 14:28
|
#14
|
elite*gold: 7110
Join Date: Jun 2009
Posts: 28,904
Received Thanks: 25,394
|
Jo mag sein, wollte nur damit sagen, dass man mit dem Kernel Mode kleine Kiddies abschreckt, aber versierte Reverser werden es sich nicht nehmen lassen, ihren Kernel Debugger anzuschmeißen und den Treiber unter die Lupe zu nehmen.
|
|
|
04/08/2012, 17:59
|
#15
|
elite*gold: 0
Join Date: Aug 2009
Posts: 962
Received Thanks: 96
|
und wie mache ich das jetzt? oder ist das doch garnicht mäglich?
|
|
|
|
|
Similar Threads
|
DLL Injection verhindern
03/05/2012 - AutoIt - 8 Replies
Hallo ich wollt mal fragen ob es die möglichkeit gibt mit autoit zu programmieren das er überprüft wenn jemand eine dll incektet in meine eingebundene exe (z.b. metin2) das autoit tool das programm was injectet werden soll sofort schliest??
|
Rechtsklick verhindern
02/10/2012 - AutoIt - 2 Replies
huhu zusammen,
ich habe folgendes Problem:
Sobald man rechtsklick auf das GUI fenster, bzw der aufgerufenen Webseite macht, soll sich das komplette Script schließen.
Mit _IsPressed hab ichs schon versucht, ging aber irgendwie nicht richtig.. :confused:
Hier noch der Script:
|
Level up verhindern
12/29/2010 - Metin2 Private Server - 9 Replies
Hallo Com
ich frage mich wie man das level up von 255 auf 256 verhindern kann
bei diesen files
http://www.elitepvpers.com/forum/metin2-pserver-gu ides-strategies/769811-release-new-files-255-new-w eaps-new-mounts.html#post7081155
ist das ein bug und man wird auf ein level zwichen 1-99 zurück gestuft.
mfg
danke
|
Beenden verhindern
05/24/2006 - General Coding - 24 Replies
also ich wüsste gern wie ich das beenden eines Programmes über das kreuz in der rechten oberen ecke verhindern kann
wie ist eigentlich egal hab schon gesehen das das kreuz deaktiviert war also das man es gar nicht erst anklicken konnte
wär aber auch ok wen gar nix passiert wen man auf das Kreuz klickt oder wenn dann ein neuer Frame geöffnet wird
und ist es vieleicht auch möglich das Beenden des Prozesses oda Programmes über den Taskmanager zu verhindern? :D
das ganze jetzt in vb 6
...
|
All times are GMT +2. The time now is 00:23.
|
|