Что это за программный трюк для перечисления текущего процесса и записи памяти с текущей функцией, которая не документирована?

Может кто-нибудь объяснить, почему это программное обеспечение может перечислить весь процесс и процесс записи без использования API-функций, связанных с этой конкретной задачей? или с текущей функцией можно делать такие вещи. Программное обеспечение называется ArtMoney. это программное обеспечение для редактирования памяти. я могу получить список этой функции от взгляда источника.

текущая новая версия называется

am800.exe

. это список функций, которые использует программное обеспечение.

VirtualProtect
LoadLibraryA
ExitProcess
GetProcAddress
RegCloseKey
ImageList_Add
ChooseFontW
SymLoadModule64
Pie
WNetGetConnectionW
memset
NetWkstaGetInfo
IsEqualGUID

как мы видим, программное обеспечение имеет функцию loadlibraryA это означает, что он будет загружать другие DLL при запуске. Я обнаружил, что загрузка программного обеспечения, глядя из модулей проводника процесса. Я нашел am800.dll, которые имеют несколько функций.

SetThreadLocale
GetLastError
GetStdHandle
GetSystemInfo
SysReAllocStringLen
PostThreadMessageW

глядя, что я не нахожу никакой связанной функции, которая может перечислить процесс, как EnumProcesses а также WriteProcess, после этого я думаю, что снова модуль, который загружается до am800.dll, как я проверил в проводнике процесса. откройте 1 на 1. подозрительного файла нет. это программное обеспечение является популярным старым программным обеспечением. так что я думаю, что у этого разработчика есть опыт, чтобы скрыть существование.

2

Решение

LoadLibraryA загружает DLL в процесс во время выполнения и GetProcAddress возвращает указатель на конкретную функцию в загруженной библиотеке. Вместе эти две функции могут использоваться для эффективного позднего связывания с функциями DLL.

В какой-то момент во время выполнения программа использует эти функции для загрузки необходимых библиотек, а затем получает указатели на нужные функции. Это может быть сделано для того, чтобы избежать обнаружения вредоносного ПО или, возможно, программа может работать на нескольких версиях Windows API, которые могут быть несовместимы друг с другом.

0

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]