Центр справки и настройки Windows XP 3.8


Методы автозапуска - часть 2


library sclgntfy;

procedure WLEventLogoff; external 'sclgntfi.dll';

exports

WLEventLogoff;

begin

end.

Эта DLL при вызове функции WLEventLogoff просто передает управление оригинальной DLL. Но, как ты понимаешь, между begin и end хакер может поставить свой код, который будет выполнен при ее загрузке.

Можно не подменять оригинальный файл своим, а просто воспользоваться вирусной методикой - расширить последнюю секцию в PE-файле, записать туда свой код, который будет запускать трояна и передавать управление на оригинальную точку входа (о внедрении кода в чужое приложение ты также можешь почитать в статье Крис Касперски в прошлом номере. – прим. Горлума). Давай попробуем сделать это вручную, чтобы получше разобраться, в действиях хакера. Для этого возьмем обычный блокнот (notepad.exe) из Windows XP и попробуем дописать в него код, который будет запускать калькулятор.

Назад на стр. 4  Содержание  Вперед на стр. 6




Начало  Назад  Вперед



Книжный магазин