[求助]拦截DLL注入的思路-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 2009-12-6 11:01 2 楼 0 无bin
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-12-6 16:18 3 楼 0 用KeUsermodecallback但是不用0x42你防得住吗？
寒冰心结雪币： 7470 活跃值： (2066) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2009-12-6 16:54 4 楼 0 哦？。。还有其他的？。。那是不是属于APC注入了？看软件调试上说。这个 nt!KeUserModeCallBack着陆点是固定的。还有那个PEB内的KernelCallBackTable内能LoadLibrary的不多吧。直接回调Kernel32!LoadLibraryA W那些估计要采用APC吧。。。
cvcvxk 雪币： 8863 活跃值： (2369) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2009-12-6 17:11 5 楼 0 ImageLoadNotifyRoutine啊~
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-12-6 17:46 6 楼 0 俄罗佬的ring0MsgBox可以神奇地在任意地址着陆，不一定在那个表的范围内~
dayang 雪币： 220 活跃值： (626) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2009-12-6 23:07 7 楼 0 有BIN发不？
寒冰心结雪币： 7470 活跃值： (2066) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2009-12-7 12:53 8 楼 0 目标bin 全身披上VM。。一点办法都没。。只能凭目标的特征和行为来猜测。。。
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2009-12-7 13:46 9 楼 0 又玩外挂，玩外挂又没水平，一点意思都没有。
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 2009-12-7 15:08 10 楼 0 新启动一个进程dll注入后在模块中的顺序在哪个位置？kernel32后还是ntdll和kernel32之间？？？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 2009-12-6 11:01 2 楼 0 无bin
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-12-6 16:18 3 楼 0 用KeUsermodecallback但是不用0x42你防得住吗？
寒冰心结雪币： 7470 活跃值： (2066) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2009-12-6 16:54 4 楼 0 哦？。。还有其他的？。。那是不是属于APC注入了？看软件调试上说。这个 nt!KeUserModeCallBack着陆点是固定的。还有那个PEB内的KernelCallBackTable内能LoadLibrary的不多吧。直接回调Kernel32!LoadLibraryA W那些估计要采用APC吧。。。
cvcvxk 雪币： 8863 活跃值： (2369) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2009-12-6 17:11 5 楼 0 ImageLoadNotifyRoutine啊~
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-12-6 17:46 6 楼 0 俄罗佬的ring0MsgBox可以神奇地在任意地址着陆，不一定在那个表的范围内~
dayang 雪币： 220 活跃值： (626) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2009-12-6 23:07 7 楼 0 有BIN发不？
寒冰心结雪币： 7470 活跃值： (2066) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2009-12-7 12:53 8 楼 0 目标bin 全身披上VM。。一点办法都没。。只能凭目标的特征和行为来猜测。。。
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2009-12-7 13:46 9 楼 0 又玩外挂，玩外挂又没水平，一点意思都没有。
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 2009-12-7 15:08 10 楼 0 新启动一个进程dll注入后在模块中的顺序在哪个位置？kernel32后还是ntdll和kernel32之间？？？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复