lukkee - Mo 18.08.08 16:00
Titel: dll's in Application

---

Kann man irgendwie prüfen welche DLL's ein bestimmter prozess geladen hat ?
Oder ob eine DLL gerade irgendwo injeziert wurde..

greetz luke

Chryzler - Mo 18.08.08 16:41

---

Ja, mittels CreateToolhelp32Snapshot [http://msdn.microsoft.com/en-us/library/ms682489(VS.85).aspx], Module32First [http://msdn.microsoft.com/en-us/library/ms684218(VS.85).aspx] und Module32Next [http://msdn.microsoft.com/en-us/library/ms684221(VS.85).aspx]. Hilfreich könnte auch dieser Thread [http://www.delphi-forum.de/viewtopic.php?t=24529] sein.

lukkee - Mo 18.08.08 22:40

---

hej danke..

ich hab gelesen das man die dll's auch in Prozessen verstecken kann .. gute hacks können söwas z.b
Meine frage, kann man auch versteckte dll's irgednwie erkennen bzw ausfindig machen?
Ich würd nämlich gerne eine Fremdanwendung vor angriffen schützen!

greetz

lukkee - Di 19.08.08 10:57

---

Ich hab mir jetz mal die uallcollection angeschaut .. gibts irgendwo ein beispiel die das schreiben bzw lesen der kernel32.dll erkennt?
oder allgemein das schreiben einer DLL ...

greetz

Delete - Di 19.08.08 11:02

---

lukkee hat folgendes geschrieben:

das schreiben bzw lesen der kernel32.dll erkennt? oder allgemein das schreiben einer DLL ...

Was für ein Schreiben / Lesen soll denn da erkannt werden? Der Satz ergibt Sinn.
DLLs sind Funktionsbibliotheken, die Programmen Funktionen zur Verfügung stellen. Dazu werden sie von dem Prozess in den Adressraum geladen, damit auf die Funktionen in der DLL zugegriffen werden kann.
Und mit dem Wissen versuch bitte noch mal zu erklären, was du eigentlich willst.

lukkee - Di 19.08.08 15:47

---

na ich will z.b sehen welcher prozess gerade auf die kernel32.dll zugreift /schreibt
so wie es das "Filemon" Beispiel von Sysinternals zeigt.. Aus meinen informationen läuft das über einem Treiber. Ich will das aber mit hooks machen .. deswegen hab ich mich schlau gemacht > Irgendwo im Forum stand was von "dll protection " und das es ein Beispiel aus der uallcollection gibt. Ich glaub die entsprechende funktion dafür war "CreateFile" oder so


ich bin ratlos

grüße

Delete - Di 19.08.08 16:10

---

lukkee hat folgendes geschrieben:

na ich will z.b sehen welcher prozess gerade auf die kernel32.dll zugreift /schreibt

Noch mal, da wird NICHTS geschrieben. Warum sollte ein Prozess auch in einer DLL rumschreiben?

Zitat:

so wie es das "Filemon" Beispiel von Sysinternals zeigt.. Aus meinen informationen läuft das über einem Treiber. Ich will das aber mit hooks machen

Die werden schon gewusst haben, warum sie extra einen Treiber geschrieben haben oder meinst du die würden sich die Arbeit umsonst machen, wenn es auch einfacher mit Hooks ginge?

Zitat:

Irgendwo im Forum stand was von "dll protection " und das es ein Beispiel aus der uallcollection gibt. Ich glaub die entsprechende funktion dafür war "CreateFile" oder so

such den Beitrag und verlinke ihn, damit wir wissen, wo von du eigentlich redest.

lukkee - Di 19.08.08 16:19

---

Hi luckie..
k sry ich hab das schreiben wohl mit lesen verwechselt.. Im filemon steht auch "READ" ich dachte immer es war "Write" sry..
ehm hier der Link: (dritte Post) von "0xCC"

http://www.delphi-forum.de/viewtopic.php?t=59227&start=0&postorder=asc&highlight=filemon