BetA
Lt. Junior Grade
- Registriert
- Jan. 2009
- Beiträge
- 276
DNSAPI.DLL modification Guide
Q: Was ist das?
A: Die dnsapi.dll hat adressen von Microsoft ge-whitelisted, so das sie via HOSTS blocking trotzdem verbindung zum internet haben. zb. microsoft.com.
Blockt das mal via Hosts und schaut ob ihr noch draufkommt.. Das ist der Fall, und deswegen diese dnsapi.dll änderung..
Das gibt es soweit ich weis seit Windows VISTA/oder xp sp3...
-Tools die wir brauchen (bzw. die ich benutzt habe)
--> HxD HexEditor
http://mh-nexus.de/en/hxd/
--> HostsMan_4.5.102 (sollte auch mit win 10 gehen)
http://www.abelhadigital.com/hostsman
(ein wirklich tolles tool, erleichtert die arbeit ungemein)
--> Admin RECHTE, damit ihr die dnsapi.dll austauschen könnt (Taking ownership)
- BACKUP DER FILES MACHEN!!!!!!!!!!
Ort: Windows/system32 --> dnsapi.dll
Windows/Syswo64 --> dnsapi.dll
Windows/system32/drivers/etc/hosts
- Macht nun eine KOPIE der im system vorhanden dnsapi.dll und kopiert sie in einen "arbeits" ordner, wo ihr dran rumfummeln könnt
Diese verändert ihr dann.
Und diese tauscht ihr dann auch mit der im system vorhanden aus. so ist es ein wenig einfacher, und da kommt dann auch das "take ownership" ins spiel. aber das sollte klar sein denke ich, wenn nicht einfach Fragen
--------------------------------------------------------------
Wie "editiere" ich die dnsapi.dll
--------------------------------------------------------------
WINDOWS 7
!!!! Ihr könnt selbst entscheiden was ihr blocken wollt oder was nicht. Hier ist ein beispiel mit windows Update noch aktiv..
---> mit Win Update aktiv -Win 7-
--------------------------------------------------------------
WINDOWS 10
!!!! Ihr könnt selbst entscheiden was ihr blocken wollt oder was nicht. Hier ist ein beispiel mit windows Update noch aktiv..
---> mit Win Update aktiv -Win 10-
-------------------------------------------------------------
Fangen wir an.....
Windows 7:
-
hexeditor HxD - dll öffnen - suche (KEIN unicode) ".com" oder gehe offset 42288, siehe rechts die adressen..
sollte so aussehen:
--->
--> www.msdn.com in 000000000000 ändern.
das würde die verbindung zu "msdn" blockieren im zusamenspiel der host file.
liste der adressen found in dll: (32bit DLL) funde von oben nach unten in reihenfolge gelistet..
start OFFSET --> 42288
-------------------------------------------------------------------------------------------------------------------------
liste der adressen found in dll: (64bit DLL) funde von oben nach unten in reihenfolge gelistet..
start OFFSET --> 16B20
--------------------------------------------------------------
--------------------------------------------------------------
WINDOWS 10: ( Da ist nun ein wenig mehr drinne)
-
hexeditor HxD - dll öffnen - suche (unicode) .com oder gehe offset 7AB20, siehe rechts die adressen..
sollte so aussehen:
--->
--> u.p.d.a.t.e...m.i.c.r.o.s.o.f.t...c.o.m. in 0000000000000000000000000000000000000000 ändern.
das würde das update blockieren im zusamenspiel der host file.
liste der adressen found in dll: (32bit DLL) funde von oben nach unten in reihenfolge gelistet..
Start Offset --> 7AB20
Bei den folgenden sachen bin ich mir nicht sicher was/bzw wie es genutzt wird, also erstmal hände weg lassen davon
?D.N.S. . .Q.M. .I.P.S.E.C. .P.o.l.i.c.y.........2.5.29.37?
??zertifikate?? http://www.microsoft.com/pkiops/crl.../pkiops/certs/MicWinProPCA2011_2011-10-19.crt
http://crl.microsoft.com/pki/crl/products/MicRooCerAut_2010-06-23.crl0Z..+........N0L0J..+.....0.†>http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
http://www.microsoft.com/windows0
http://crl.microsoft.com/pki/crl/products/MicRooCerAut_2010-06-23.crl0Z..+........N0L0J..+.....0.†>http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
http://www.microsoft.com/PKI/docs/CPS/default.htm
http://crl.microsoft.com/pki/crl/products/MicTimStaPCA_2010-07-01.crl0Z..+........N0L0J..+.....0.†>http://www.microsoft.com/pki/certs/MicTimStaPCA_2010-07-01.crt
-------------------------------------------------------------------------------------------------------------------------
liste der adressen found in dll: (64bit DLL) funde von oben nach unten in reihenfolge gelistet..
start OFFSET --> 2400
Bei den folgenden sachen bin ich mir nicht sicher was/bzw wie es genutzt wird, also erstmal hände weg lassen davon
D.N.S. . .Q.M. .I.P.S.E.C. .P.o.l.i.c.y.....2.5.29.37.
http://www.microsoft.com/pkiops/crl...pkiops/certs/MicWinProPCA2011_2011-10-19.crt0
http://crl.microsoft.com/pki/crl/products/MicRooCerAut_2010-06-23.crl0Z..+........N0L0J..+.....0.†>http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
http://www.microsoft.com/windows0
http://crl.microsoft.com/pki/crl/products/MicRooCerAut_2010-06-23.crl0Z..+........N0L0J..+.....0.†>http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
http://www.microsoft.com/PKI/docs/CPS/default.htm
http://crl.microsoft.com/pki/crl/products/MicTimStaPCA_2010-07-01.crl0Z..+........N0L0J..+.....0.†>http://www.microsoft.com/pki/certs/MicTimStaPCA_2010-07-01.crt
----------------------------------------------------------------------------------------------------------------------------
Sodelle, das war die DNSAPI.dll.
Nun kommt die host liste.
Auch dort gillt, BACKUP machen...
Ihr könnt hier entweder das 127.0.0.1 schema oder das 0.0.0.0 schema nutzen, wie ihr wollt..
Vor und nachteile der beiden:
Mit dem 0.0.0.0 geht das ganze schneller, reagiert sofort, da schneller.
Mit 127.0.0.1 kann es zu einen verzögerung kommen, meist aber unter einer sek..
ABER der vorteil bei der 127.0.0.1 ist das ihr es loggen könnt
Z.B, mit HostsServer_2.1.62_win64 (http://www.abelhadigital.com/hostsserver)
Das könnt ihr im hintergrund laufen lassen um zu sehen wer, wann, wie und wo umgeleitet worden ist. so zu sagen ein "Kontroll" tool..
Screen:
So, ihr könnt die hosts jetzt entweder mit dem editor öffnen oder den HostsMan benutzen..
Fürs erste wäre der editor einfacher.
Hier ist die "Liste", natürlich hat jeder andere gewohnheiten, also schaut über die liste drüber, bzw, wenn ihr mal wo nicht drauf kommt im internet, einfach mit Hostsserver tool schaun was es war und ob es an der Hosts liste liegt, das ist auch einer der gründe warum ich das tool hier anspreche, es erleichter die fehlersuche..
ok, also, die Liste...
--> http://pastebin.com/krsQTypn
(Wenn neue adressen hinzukommen oder die Liste geupdated wird, meld ich mich hier...Der pastebin link ist nur für jetzt.. wenn neue updates kommen muss ich einen neuen paste machen.. nicht das es da missverständnisse gibt..)
einfach alles kopieren und in euere hosts file pasten..
Ich habe dort jetzt alle mit 0.0.0.0 gemacht.
Aber, falls ihr das oben beschriebene testen wollt, "öffnet HostsMan und macht das:
-->
easy
(eins der vorzüge von diesem Tool)und SETZT die hosts datei auf "READ ONLY" also schreibgeschützt.. (sicherer gegen veränderungen).
System Neustarten und gegebenfalls ein DNS flush durchführen..
Am besten ein auge auf die dnsapi.dll werfen ab und an, nicht das windows die wieder ändert, (was bei mir bis jezt nicht passiert ist)
hmm, wars das? fehlt da noch was?
wenn euch was einfällt oder auffällt, einfach MELDEN bei mir..
ich hoffe das erklärt alles.., wenn nicht einfach fragen...
Greetz BeTa
edit:
mist, bei win 7 hexedit adressen zeigt es nicht alles an weil es automatisch als URL erkannt wird, CODE is nicht, zerstört das seiten layout..pff..
hier ist es nochmal via pastebin...
--> http://pastebin.com/n9ENqm8n
Ergänzung ()
Und hab noch was gefunden.
Sehr schöne Anleitung, nicht von mir..
--> http://anleitung.trojaner-board.de/...achungsfunktionen-in-windows-10-entfernen_571
zitat:
mehr auf der seite
Have Fun..
Zuletzt bearbeitet:
