CodeS-SourceS est hébergé par Frontier.fr

Ce site au démarrage

begin process at 2012 05 24 02:49:28

Accueil Codes Tutoriels Forum Livres Emploi Services Connexion

Trouver un code source :

dans

[ Dernières recherches ]

Accueil >

Système

> ÉNUMÉRATION DES PROCESSUS ET DÉCHARGEMENT FORCÉ DE DLL

ÉNUMÉRATION DES PROCESSUS ET DÉCHARGEMENT FORCÉ DE DLL

Information sur la source

Note :

7,00 / 10

Catégorie :Système Niveau :Initié Date de création :02/04/2005 Vu / téléchargé :10 538 / 695

Auteur : Nebula

Ecrire un message privé

Site perso

Commentaire sur cette source (3)

Ajouter un commentaire et/ou une note

Description

En travaillant sur une dll de hook système, je me suis souvent arraché les cheveux parce qu'elle se déchargeait mal. J'ai donc repensé à une source que j'avais vue ici qui permettait d'injecter du code dans les autres applications, et me suis dit pourquoi ne pas l'utiliser pour décharger ma dll à coups de FreeLibrary ?

Voici le résultat, un petit utilitaire qui scanne tous les processus (en obtenant les PID directement à partir de la perflib, cette méthode n'a jamais été présentée sur cppfrance à ma connaissance - en tout cas mes recherches ne m'ont ramené sur aucune source) et crée un thread distant afin de décharger la dll, si elle est présente. Le thread renvoie un entier qui indique le résultat de l'opération (succès, erreur ou dll non présente dans ce processus).

Le code s'explique de lui même et n'est donc PAS commenté, lisez les liens fournis en annexe pour le comprendre...

Source

Sortie du programme chez moi :
Tentative de désinfection de `System.exe' (PID 4) ... impossible d'ouvrir le processus !
Tentative de désinfection de `smss.exe' (PID 368) ... impossible d'ouvrir le processus !
Tentative de désinfection de `csrss.exe' (PID 424) ... impossible d'ouvrir le processus !
Tentative de désinfection de `winlogon.exe' (PID 448) ... impossible d'ouvrir le processus !
Tentative de désinfection de `services.exe' (PID 492) ... impossible d'ouvrir le processus !
Tentative de désinfection de `lsass.exe' (PID 504) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 648) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 716) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 756) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 816) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 836) ... impossible d'ouvrir le processus !
Tentative de désinfection de `spoolsv.exe' (PID 1008) ... impossible d'ouvrir le processus !
Tentative de désinfection de `nvsvc32.exe' (PID 1172) ... impossible d'ouvrir le processus !
Tentative de désinfection de `vmware-authd.exe' (PID 1284) ... impossible d'ouvrir le processus !
Tentative de désinfection de `vmnat.exe' (PID 1300) ... impossible d'ouvrir le processus !
Tentative de désinfection de `vmnetdhcp.exe' (PID 1328) ... impossible d'ouvrir le processus !
Tentative de désinfection de `alg.exe' (PID 1500) ... impossible d'ouvrir le processus !
Tentative de désinfection de `sleep.exe' (PID 1792) ... ce processus n'est pas infecté
Tentative de désinfection de `svchost.exe' (PID 1896) ... impossible d'ouvrir le processus !
Tentative de désinfection de `winamp.exe' (PID 3456) ... ce processus n'est pas infecté
Tentative de désinfection de `stunnel-4.08.exe' (PID 2860) ... ce processus n'est pas infecté
Tentative de désinfection de `mirc.exe' (PID 2656) ... désinfection réussie
Tentative de désinfection de `thunderbird.exe' (PID 572) ... ce processus n'est pas infecté
Tentative de désinfection de `firefox.exe' (PID 700) ... désinfection réussie
Tentative de désinfection de `taskmgr.exe' (PID 3880) ... désinfection réussie
Tentative de désinfection de `explorer.exe' (PID 140) ... désinfection réussie
Tentative de désinfection de `xchat.exe' (PID 196) ... désinfection réussie
Tentative de désinfection de `cmd.exe' (PID 2604) ... ce processus n'est pas infecté
Tentative de désinfection de `rundll32.exe' (PID 2776) ... désinfection réussie
Tentative de désinfection de `clean.exe' (PID 1424) ... ce processus n'est pas infecté

Sortie du programme chez moi :
Tentative de désinfection de `System.exe' (PID 4) ... impossible d'ouvrir le processus !
Tentative de désinfection de `smss.exe' (PID 368) ... impossible d'ouvrir le processus !
Tentative de désinfection de `csrss.exe' (PID 424) ... impossible d'ouvrir le processus !
Tentative de désinfection de `winlogon.exe' (PID 448) ... impossible d'ouvrir le processus !
Tentative de désinfection de `services.exe' (PID 492) ... impossible d'ouvrir le processus !
Tentative de désinfection de `lsass.exe' (PID 504) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 648) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 716) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 756) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 816) ... impossible d'ouvrir le processus !
Tentative de désinfection de `svchost.exe' (PID 836) ... impossible d'ouvrir le processus !
Tentative de désinfection de `spoolsv.exe' (PID 1008) ... impossible d'ouvrir le processus !
Tentative de désinfection de `nvsvc32.exe' (PID 1172) ... impossible d'ouvrir le processus !
Tentative de désinfection de `vmware-authd.exe' (PID 1284) ... impossible d'ouvrir le processus !
Tentative de désinfection de `vmnat.exe' (PID 1300) ... impossible d'ouvrir le processus !
Tentative de désinfection de `vmnetdhcp.exe' (PID 1328) ... impossible d'ouvrir le processus !
Tentative de désinfection de `alg.exe' (PID 1500) ... impossible d'ouvrir le processus !
Tentative de désinfection de `sleep.exe' (PID 1792) ... ce processus n'est pas infecté
Tentative de désinfection de `svchost.exe' (PID 1896) ... impossible d'ouvrir le processus !
Tentative de désinfection de `winamp.exe' (PID 3456) ... ce processus n'est pas infecté
Tentative de désinfection de `stunnel-4.08.exe' (PID 2860) ... ce processus n'est pas infecté
Tentative de désinfection de `mirc.exe' (PID 2656) ... désinfection réussie
Tentative de désinfection de `thunderbird.exe' (PID 572) ... ce processus n'est pas infecté
Tentative de désinfection de `firefox.exe' (PID 700) ... désinfection réussie
Tentative de désinfection de `taskmgr.exe' (PID 3880) ... désinfection réussie
Tentative de désinfection de `explorer.exe' (PID 140) ... désinfection réussie
Tentative de désinfection de `xchat.exe' (PID 196) ... désinfection réussie
Tentative de désinfection de `cmd.exe' (PID 2604) ... ce processus n'est pas infecté
Tentative de désinfection de `rundll32.exe' (PID 2776) ... désinfection réussie
Tentative de désinfection de `clean.exe' (PID 1424) ... ce processus n'est pas infecté

Conclusion

Les processus impossibles à ouvrir correspondent aux services, il est possible de les désinfecter quand même en se donnant le SeDebugPrivilege (voir plus bas).

Seule contrainte actuellement : il faut recompiler le programme pour changer le nom de la dll à supprimer (MODULE_NAME dans le fichier main.c).

J'attend vos commentaires, critiques, remarques, questions... etc :)

-----
Doc sur la perflib : http://msdn.microsoft.com/library/default.asp?url= /library/en-us/perfmon/base/performance_data_forma t.asp
Source qui explique les remote threads, de BlackGoddess : http://www.cppfrance.com/code.aspx?id=10743
Pour désinfecter même les services, SetDebugPrivileges : http://www.cppfrance.com/code.aspx?id=26858

Fichier Zip

Les Membres Club peuvent télécharger directement un fichier contenu dans le zip sans télécharger le zip en entier !

assert.c 2 033 octets
assert.h 350 octets
cleanhook.exe9 728 octets
config.h 456 octets
console.c 735 octets
console.h 105 octets
GNUmakefile594 octets
main.c 7 269 octets
util.c 906 octets
util.h 132 octets

Télécharger le zip

Sources du même auteur

EXÉCUTABLES SE VÉRIFIANT LORSQU'ILS SONT LANCÉS

RICHEDIT AVEC SUPPORT DES THÈMES XP

CALCUL DE HASH MD5 (WIN32)

VÉRIFIER QUE L'UTILISATEUR EST ADMINISTRATEUR

KILL ANY PROCESS

Toutes les sources de Nebula

Sources de la même categorie

INFORMATION PROCESSEUR (CPUID) par Devils_Tiger

LECTURE TEMPÉRATURE PROCESSEUR par Devils_Tiger

LECTURE FRÉQUENCE PROCESSEUR par Devils_Tiger

UNE LISTE HÉTÉROGÈNE DOUBLEMENT CHAINÉE par pgl10

POUR AFFICHER LES CARACTÈRES ACCENTUÉS SOUS WINDOWS EN MODE ... par pgl10

Toutes les sources de la catégorie Système

Commentaires et avis

Commentaire de mirlaine le 05/04/2005 00:55:31

salut c'est original comme méthode pour list les process

sinon je croi ya moyen que ca marche avec tou les process...
je me rappel plus comment a+

Commentaire de Nebula le 05/04/2005 04:05:24

Si tu parles des processus impossibles à ouvrir, je donne la solution dans mon dernier lien (en plus tu t'en sers dans une de tes sources :p) : SeDebugPrivilege :)

Commentaire de Nebula le 05/04/2005 04:18:07

Je précise tout de même pour ceux qui auraient envie d'essayer qu'il serait extrêmement dangereux pour la stabilité du système d'activer ce privilège et d'exécuter mon programme tel quel : la plupart des services système de microsoft sont des applications natives qui ne dépendent que de ntdll, donc n'ont pas de kernel32 mappée en mémoire (ce qui implique pas de GetModuleHandle ni de FreeLibrary dans le thread distant, sinon BOUM)...

Soit il faudrait les forcer à charger kernel32 (en passant par l'api native), soit il faudrait utiliser directement l'api native dans le thread distant... Si tu es motivé, ntdll est une des rares dll avec kernel32 et user32 à être toujours chargée à son adresse de prédilection (ce qui signifie que ses fonctions ont les mêmes adresses dans tous les processus courants).

Ajouter un commentaire

Nos sponsors

Derniers Blogs

IMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg

KINECT 1.5 IS OUT ! par Vko

LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) par richardc

REACTIVE EXTENSIONS : CONSOMMER DES SERVICES AVEC RX PARTIE 3, LES PIèGES à éVITER par Groc

SHAREPOINT BLOG SITE, PROBLèME D'ARCHIVES par junarnoalg

Forum

PAUSE JEU ALLEGRO par souhayebyoussef

RE : [C]ANTICIPER LE MANQUE DE PLACE SUR UN DISQUE par StayCrunchy

RE : [C]ANTICIPER LE MANQUE DE PLACE SUR UN DISQUE par CptPingu

RE : [C]ANTICIPER LE MANQUE DE PLACE SUR UN DISQUE par StayCrunchy

RE : [C]ANTICIPER LE MANQUE DE PLACE SUR UN DISQUE par CptPingu

Côté IT

Offres d'emploi

Formations Video

Appels d'offres

Creation d-un site ecommerce de vente en ligne de chaussures femmes
Budget : 5 000€
URGENT - Recherche d-un webmaster
Budget : 4 800€
Creation d-un site web ancien etudiant avec Job board
Budget : 1 800€

Logiciels

974 Application Server (12.2.4.0)
974 APPLICATION SERVER (12.2.4.0)

Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc...

Cliquez pour télécharger 974 Application Server
vPicture (1.4.2.1)
VPICTURE (1.4.2.1)

Avec vPicture, hébergez vos images facilement et rapidement. vPicture est un utilitaire simple, ...

Cliquez pour télécharger vPicture
Easy-Planning (2.2.1.6)
EASY-PLANNING (2.2.1.6)

Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au...

Cliquez pour télécharger Easy-Planning
COM-BACKUP (2.0)
COM-BACKUP (2.0)

COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...

Cliquez pour télécharger COM-BACKUP
mySongBook Player (1.0.0)
MYSONGBOOK PLAYER (1.0.0)

mySongBook Player est un logiciel gratuit permettant l'accès à une archive de tablatures/partitio...

Cliquez pour télécharger mySongBook Player