[求助]拦截DLL注入的思路-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 2 楼无bin 2009-12-6 11:01 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼用KeUsermodecallback但是不用0x42你防得住吗？ 2009-12-6 16:18 0
寒冰心结雪币： 8196 活跃值： (2791) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 4 楼哦？。。还有其他的？。。那是不是属于APC注入了？看软件调试上说。这个 nt!KeUserModeCallBack着陆点是固定的。还有那个PEB内的KernelCallBackTable内能LoadLibrary的不多吧。直接回调Kernel32!LoadLibraryA W那些估计要采用APC吧。。。 2009-12-6 16:54 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼 ImageLoadNotifyRoutine啊~ 2009-12-6 17:11 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼俄罗佬的ring0MsgBox可以神奇地在任意地址着陆，不一定在那个表的范围内~ 2009-12-6 17:46 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 7 楼有BIN发不？ 2009-12-6 23:07 0
寒冰心结雪币： 8196 活跃值： (2791) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 8 楼目标bin 全身披上VM。。一点办法都没。。只能凭目标的特征和行为来猜测。。。 2009-12-7 12:53 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼又玩外挂，玩外挂又没水平，一点意思都没有。 2009-12-7 13:46 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 10 楼新启动一个进程dll注入后在模块中的顺序在哪个位置？kernel32后还是ntdll和kernel32之间？？？ 2009-12-7 15:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 2 楼无bin 2009-12-6 11:01 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼用KeUsermodecallback但是不用0x42你防得住吗？ 2009-12-6 16:18 0
寒冰心结雪币： 8196 活跃值： (2791) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 4 楼哦？。。还有其他的？。。那是不是属于APC注入了？看软件调试上说。这个 nt!KeUserModeCallBack着陆点是固定的。还有那个PEB内的KernelCallBackTable内能LoadLibrary的不多吧。直接回调Kernel32!LoadLibraryA W那些估计要采用APC吧。。。 2009-12-6 16:54 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼 ImageLoadNotifyRoutine啊~ 2009-12-6 17:11 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼俄罗佬的ring0MsgBox可以神奇地在任意地址着陆，不一定在那个表的范围内~ 2009-12-6 17:46 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 7 楼有BIN发不？ 2009-12-6 23:07 0
寒冰心结雪币： 8196 活跃值： (2791) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 8 楼目标bin 全身披上VM。。一点办法都没。。只能凭目标的特征和行为来猜测。。。 2009-12-7 12:53 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 9 楼又玩外挂，玩外挂又没水平，一点意思都没有。 2009-12-7 13:46 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 10 楼新启动一个进程dll注入后在模块中的顺序在哪个位置？kernel32后还是ntdll和kernel32之间？？？ 2009-12-7 15:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复