首页
社区
课程
招聘
[求助]拦截DLL注入的思路
发表于: 2009-12-6 10:30 7116

[求助]拦截DLL注入的思路

2009-12-6 10:30
7116
收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
无bin
2009-12-6 11:01
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
3
用KeUsermodecallback但是不用0x42你防得住吗?
2009-12-6 16:18
0
雪    币: 8196
活跃值: (2791)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
哦?。。还有其他的?。。那是不是属于APC注入了?

看软件调试上说。这个 nt!KeUserModeCallBack着陆点是固定的。

还有那个PEB内的KernelCallBackTable内能LoadLibrary的不多吧。

直接回调Kernel32!LoadLibraryA W那些估计要采用APC吧。。。
2009-12-6 16:54
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
5
ImageLoadNotifyRoutine啊~
2009-12-6 17:11
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
6
俄罗佬的ring0MsgBox可以神奇地在任意地址着陆,不一定在那个表的范围内~
2009-12-6 17:46
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
有BIN发不?
2009-12-6 23:07
0
雪    币: 8196
活跃值: (2791)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
目标bin 全身披上VM。。

一点办法都没。。只能凭目标的特征和行为来猜测。。。
2009-12-7 12:53
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
9
又玩外挂,玩外挂又没水平,一点意思都没有。
2009-12-7 13:46
0
雪    币: 290
活跃值: (20)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
新启动一个进程dll注入后在模块中的顺序在哪个位置?kernel32后还是ntdll和kernel32之间???
2009-12-7 15:08
0
游客
登录 | 注册 方可回帖
返回
//