SearchDLL

[AHT]

Ich arbeite zur Zeit unter anderem an einer kleinen Sache, die ich dringend brauche - ist aber eigentlich nichts besonderes. Die Anwendung sucht auf allen angeschlossenen Festplatten nach ausführbaren Dateien (DLLs, EXE, SYS) bis zu einer Größe von 20MB. Dabei ist es der Anwendung egal, mit welcher Dateiendung dies Programme versehen sind. Das gefundene Modul wird zum Testen dabei nicht geladen. Ich stelle das jetzt mal hier rein.
Von der Anwendung werden gelistet:
- Änderungsdatum in Datenbankformat
- Dateiname und Pfad
- Signatur (wenn eine vorhanden)
- Dateibeschreibung (Resource)
- Firmenname
- Produktname
- Produktversion
- Dateiversion
- Größe der Datei in Bytes
- Ladeadresse
- Imagegröße im Speicher
- Einsprungsadresse

Die Edits sind dazu da, um nur bestimmte ausführbare Dateien listen zu lassen. Im obersten Edit kann man optional eine "default" Ladeadresse eingeben, nach der gesucht werden soll.

Ins zweiten Edit kann die Größe des geladenen Moduls im speicher eingetragen werden.

Das dritte Edit ist für eine Einsprungsadresse bestimmt. Die Einsprungsadresse muss als relativer Wert eingegeben werden - hier muss also die Ladeadresse abgezogen werden.

Im vierten Edit ganz untern können Signaturen stehen, die nicht gelistet werden sollen (durch Kommas getrennt). Standardmäßig stehen da die Microsoft Signaturen unter XP, Windows2000 und Vista.

Wozu das ganze? Bei einer unsichtbar geladenen DLL kommt man sehr einfach an die Einsprungsadresse und die Imagegröße heran - den Namen der DLL kann man aber nicht ermitteln. Mit dieser Anwendung will ich den Namen solcher DLLs herausbekommen.

[AHT]

Kleines Update hochgeladen:

Steht im vierten Edit nur ein +, werden die ausführbaren Dateien gesucht, die eine gültige Signatur haben.

Steht im vierten Edit nur ein -, werden die ausführbaren Dateien gesucht, die keine gültige Signatur haben.
Unter "Signatur" ist dann der Grund zu finden, warum die Signatur nicht ermittelt wurde.

[Bangkok]

Ich hatte das schon im falschen Thread gepostet, dein Programm will ins Internet und als ich das verweigerte ist es abgestürzt. Was will dein Programm im Internet, macht einem misstrauisch.

[AHT]

Zitat:

Zitat von Bangkok

Ich hatte das schon im falschen Thread gepostet, dein Programm will ins Internet und als ich das verweigerte ist es abgestürzt. Was will dein Programm im Internet, macht einem misstrauisch.

Mmmh...
Evtl. prüft M$ die Signaturen unter bestimmten Voraussetungen im Netz.
Ich schaue mal. Will das hier auch ins Netz?

[AHT]

Ahhh - hab's gefunden:

Zitat:

WTD_REVOKE_NONE 0No additional revocation checking will be done when the WTD_REVOKE_NONE flag is used in conjunction with the HTTPSPROV_ACTION value set in the pgActionID parameter of the WinVerifyTrust function. To ensure the WinVerifyTrust function does not attempt *** network retrieval when verifying code signatures, WTD_CACHE_ONLY_URL_RETRIEVAL must be set in the dwProvFlags parameter.

Hab den Flag vergessen - M$ kontrolliert dann unter bestimmten Voraussetzungen die Signatur im Netzwerk.

[AHT]

Update hochgeladen. Bitte überprüfe mal, ob das Ding immer noch ins Netz will - das sollte auf keinen Fall so sein.
Im Menü kann man nun extra die Netzwerkverbindung zulassen - ist normalerweise deaktiviert.

[AHT]

Zitat:

Zitat von Bangkok

Ich hatte das schon im falschen Thread gepostet, dein Programm will ins Internet und als ich das verweigerte ist es abgestürzt. Was will dein Programm im Internet, macht einem misstrauisch.

Da bei mir das Programm nicht ins Netz möchte, bin ich auf eine Rückmeldung von dir angewiesen, ob das Programm weiterhin telefonieren will. Ich brauche diese Funktionalität für andere Sachen, und da darf eine Netzwerkverbindung unter keinen Umständen stattfinden.

[Bangkok]

Ja, es will immer noch ins Internet, es stürzt nur nicht mehr ab wenn man es verweigert.
Du solltest meiner Meinung nach noch eine Verzeichnis- und Laufwerksauswahl einbauen. Das Tool ist ja recht langsam und braucht bei 5 Laufwerken wahrscheinlich Stunden um den ganzen Computer zu scannen. Das Scannen ist auch seltsam. Bei mir geht er erst auf ein externes USB Laufwerk I:, liest aber nur aus einem Verzeichnis ein und macht dann auf C: weiter.
Ob es zur Malwaresuche geeignet ist, wage ich zu bezweifeln, da bei mir mehr Programme ohne als mit Signatur auf dem Rechner sind, so dass das keine große Hilfe bei der Suche zu sein scheint.

[AHT]

Zitat:

Zitat von Bangkok

Ja, es will immer noch ins Internet, es stürzt nur nicht mehr ab wenn man es verweigert.

Merkwürdig - laut Microsoft sollte das nicht mehr passieren.
Das die Sache nicht mehr abstürzt, reicht mir erst mal.

Zitat:

Zitat von Bangkok

Du solltest meiner Meinung nach noch eine Verzeichnis- und Laufwerksauswahl einbauen. Das Tool ist ja recht langsam und braucht bei 5 Laufwerken wahrscheinlich Stunden um den ganzen Computer zu scannen.

So ist es, sehr lange. Da wird nichts mehr geändert - ich brauche das Ding für einen bestimmten Zweck.

Zitat:

Zitat von Bangkok

Ob es zur Malwaresuche geeignet ist, wage ich zu bezweifeln, da bei mir mehr Programme ohne als mit Signatur auf dem Rechner sind, so dass das keine große Hilfe bei der Suche zu sein scheint.

Ich brauche das, um bestimmte DLL zu identifizieren, die ein Prozess unsichtbar geladen hat. Da komme ich nur an die Größe und die Einsprungsadresse, alles andere kann man nicht feststellen. Konnte damit schon einiges identifizieren, was ich vorher nicht genau zuordnen konnte.