[求助]拦截DLL注入的思路-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]拦截DLL注入的思路

发表于: 2009-12-6 10:30 7186

[求助]拦截DLL注入的思路

寒冰心结

活跃值

2009-12-6 10:30

7186

已经解决。。

最终定位到KeUserModeCallBack...

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・1

免费

支持

分享

最新回复 (9)
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 2 楼无bin 2009-12-6 11:01 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 3 楼用KeUsermodecallback但是不用0x42你防得住吗？ 2009-12-6 16:18 0
寒冰心结雪币： 8699 活跃值： (3296) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 4 楼哦？。。还有其他的？。。那是不是属于APC注入了？看软件调试上说。这个 nt!KeUserModeCallBack着陆点是固定的。还有那个PEB内的KernelCallBackTable内能LoadLibrary的不多吧。直接回调Kernel32!LoadLibraryA W那些估计要采用APC吧。。。 2009-12-6 16:54 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 5 楼 ImageLoadNotifyRoutine啊~ 2009-12-6 17:11 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 6 楼俄罗佬的ring0MsgBox可以神奇地在任意地址着陆，不一定在那个表的范围内~ 2009-12-6 17:46 0
dayang 雪币： 220 活跃值： (831) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 7 楼有BIN发不？ 2009-12-6 23:07 0
寒冰心结雪币： 8699 活跃值： (3296) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 8 楼目标bin 全身披上VM。。一点办法都没。。只能凭目标的特征和行为来猜测。。。 2009-12-7 12:53 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 9 楼又玩外挂，玩外挂又没水平，一点意思都没有。 2009-12-7 13:46 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 10 楼新启动一个进程dll注入后在模块中的顺序在哪个位置？kernel32后还是ntdll和kernel32之间？？？ 2009-12-7 15:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

寒冰心结

发帖

回帖

RANK

他的文章

[原创]IRP操作文件填坑日记 9607
[求助]关于IRP操作文件 3689
[求助]拦截DLL注入的思路 7187
[求助]LoadImageCallBack Process problem 4595

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区