このソフトウェアがその特定のタスクに関連するAPI機能を使用せずにすべてのプロセスと書き込みプロセスをリストする理由を説明できますか?または現在の機能を使ってそのことを行うことができます。このソフトウェアはArtMoneyと呼ばれています。そのメモリエディタソフトウェアです。私は、ソースを見て機能からそのリストを得ることができます。このソフトウェアが現行プロセスをリストし、現在の機能で文書化されていない現在のメモリを書き留めようとするもの
am800.exe
と呼ばれる現在の新バージョン。これは、ソフトウェアが使用する機能をリストします。
VirtualProtect LoadLibraryA ExitProcess GetProcAddress RegCloseKey ImageList_Add ChooseFontW SymLoadModule64 Pie WNetGetConnectionW memset NetWkstaGetInfo IsEqualGUID
我々はソフトウェアを見るように実行しているとき、それは他のDLLをロードすることを意味機能
loadlibraryA
を持っています。私はプロセスエクスプローラモジュールから見てソフトウェアがロードするdllを見つけました。私はいくつかの機能を持つam800.dllが見つかりました。私はEnumProcesses
とWriteProcess
のようなプロセスを一覧表示することができますすべての関連機能を見つけていないことを見ることによって、SetThreadLocale GetLastError GetStdHandle GetSystemInfo SysReAllocStringLen PostThreadMessageW
。その後、私はtheres再び
am800.dll
の前にロードするモジュールを考えます。私はプロセスエクスプローラでチェックインしました。 1で1を開きます。疑わしいファイルはありません。このソフトウェアは一般的な古いソフトウェアです。だから、私はこの開発者が存在を隠すためのexprienceを持っていると思います。
これは、マルウェアの検出を避けるためには期待していません。開いているdllファイルは、アプリケーションがファイルを開くときにカウントされます。すべてのファイルがアンチマルウェアソフトウェアを経由して開きます(ほとんどの場合、パススルーされます)。 – UKMonkey
お元気です。 btwは正確なGetProcAddressのような他の関数ですか? –
@claudiaあなたが何を意味するのか分かりません。 – cdhowie