1 Тема от admin

  • admin
  • Участник
  • Неактивен

Тема: Авторан на халяву

Обсуждение статьи Авторан на халяву(онлайн версия в процессе доработки) © FreeMan

Скачать оффлайн версию

2 Ответ от TSS

  • TSS
  • Участник
  • Неактивен

Re: Авторан на халяву

Нашел небольшую неточность в статье:

Загрузка этих библиотек происходит в csrsrv!CsrLoadServerDll следующим образом:
1)    Проверяется номер библиотеки
mov     esi, [ebp+ModuleNum]
cmp     esi, 4
jb      short l_ok
2)    Проверяется не была ли библиотека с этим номером уже запущена
l_ok:
xor     edi, edi
cmp     _CsrLoadedServerDll[esi*4], edi
jz      short l_ok2

Пункт 2: точнее было бы сказать, что пропускается загрузка CSRSRV.dll, т.к. она уже статически подгружена процессом csrss.exe ( ф-ция из нее находится в импорте csrss.exe ).

Статья гуд, мне понравилась.

3 Ответ от Great

  • Great
  • Даос
  • Неактивен

Re: Авторан на халяву

Ссылка http://technet.microsoft.com/en-us/sysi … 97447.aspx в статье дохлая

4 Ответ от n0name

  • n0name
  • Участник
  • Неактивен

Re: Авторан на халяву

примерно год назад копался в этом, так же писал несколько типов авторана.

5 Ответ от FreeMan

  • FreeMan
  • Участник
  • Неактивен

Re: Авторан на халяву

ТSS, пропускается загрузка уже загруженных либ. Тобешь есле две либы с одним  тем же номером - вторую на кол.

Great, там ничего мего интересного. но блин, это печально
http://sysinternals.kompjoefriek.nl/rip … tions.html
вот вроде тоже самое.

примерно год назад копался в этом, так же писал несколько типов авторана.

этой стотье чуть более чем пол года

6 Ответ от TSS

  • TSS
  • Участник
  • Неактивен

Re: Авторан на халяву

FreeMan, да я вкурсе =] Просто уже загруженной может быть только CSRSRV.dll, и никто больше, поэтому я и уточнил. Вобщем не важно  smile

7 Ответ от ZUNAmi777

  • ZUNAmi777
  • Участник
  • Неактивен

Re: Авторан на халяву

Статья новаторская - беру на вооружение предложенное.