Der hier angebotene Testdownload ModRenamer
soll es unter Windows2000, Windows2003, WindowsXP und Vista
ermöglichen, ausgewählte geladene Module (DLLs) einer
laufenden Anwendung vor dem Anwender in der Weise zu verstecken, das
die geladenen Module unter falschem Namen geführt werden.
Im
Prinzip bedeutet das, dass unter anderem die APIs Module32First und
Module32Next nicht mehr den wirklichen Namen des Moduls auslesen
können. Das "Maskieren" mittels dieser Technologie ist
unabhängig davon, ob ModRenamer nach dem Verstecken beendet wird
oder nicht. Es werden keine DLLs injiziert und keine APIs gehookt.
Das Programm ist kein Virus und erzeugt keinerlei
Registryeinträge. Die Änderung erfolgt durch direkte
Speicherzugriffe und Zugriffe auf undokumentierte Native-API
Funktionen unter NT-basierenden Windowssystemen.
Testen lässt
sich dies mit jedem "Taskmanagertool", das neben einem
Prozess auch dessen geladene Module (DLLs) anzeigt. Geschrieben habe
ich dieses Testprogramm, um Tools testen zu können, die so
"maskierte" DLLs auffinden können.