大家帮忙看看这个应该挂接哪个api-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
水恋云雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	水恋云 2 楼自己顶ing 2009-12-24 14:43 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 3 楼文件过滤驱动 2009-12-24 15:11 0
水恋云雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	水恋云 4 楼兄弟，能说的详细点吗？ 2009-12-24 15:16 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼真能混淆视听... 勾住ntcreatefile可以实现 2009-12-27 01:13 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 6 楼这个问题我好像在哪个地方见过自己写解密算法啊 2009-12-28 11:19 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 7 楼在内存中会解密，可以直接读取内存中的内容 2009-12-28 11:19 0
水恋云雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	水恋云 8 楼从网上找了一下，貌似是要做一个文件过滤驱动，好像挺麻烦，还没搞定。谢谢大家。。。。 2009-12-30 14:09 0
Cauly 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Cauly 9 楼额，个人感觉应该用不着这么复杂把……也许可以勾住openfile函数然后解密该文件然后写入一个新的文件，再打开新文件把句柄返回给openfile……额，不知道对不对，lz可以试试看…… 2009-12-30 23:54 0
Cauly 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Cauly 10 楼前提是你能定位目标程序而且目标程序没有什么防护……如果不能定位就可能就要用到文件过滤驱动了…… 2009-12-30 23:55 0
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 11 楼你去hook CreateFile和ReadFile应该可以，对该文件特殊处理一下 2009-12-31 10:42 0
水恋云雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	水恋云 12 楼谢谢大家，今天偶尔又转到看雪，看了以前发的帖子，这个问题已经搞定了，用的方法是拦截ReadFileA和ReadFileW两个api，目标程序没有什么防护，做了一个dll直接挂到了他的进程上，在他读取文件的时候，判断是不是要解密的加密文件，如果不是，就直接调用系统的ReadFile返回，如果是，就做解密处理。时隔一年多了，才来作总结，实在抱歉，希望能给将来遇到同样需求的朋友一点帮助。 2010-11-5 11:20 0
codeangel 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	codeangel 13 楼楼主是女人？其实其实，你可以把他的解密代码抓出来，嵌入到现在的程序中，就不用去注入DLL了。 2010-11-5 15:48 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 14 楼这样是可以的但是如果读文件的目标程序（别人的程序）做了很多措施（eg 杀软）不允许你用常规的dll注入这样就容易造成目标程序的非常不稳定当然如果目标程序就那么几个（10个之内），而且都是常规程序没做什么防护楼主的方法还是首选如果要做加解密程序最好还是用驱动过滤。。。 2010-11-5 17:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
水恋云雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	水恋云 2 楼自己顶ing 2009-12-24 14:43 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 3 楼文件过滤驱动 2009-12-24 15:11 0
水恋云雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	水恋云 4 楼兄弟，能说的详细点吗？ 2009-12-24 15:16 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼真能混淆视听... 勾住ntcreatefile可以实现 2009-12-27 01:13 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 6 楼这个问题我好像在哪个地方见过自己写解密算法啊 2009-12-28 11:19 0
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 7 楼在内存中会解密，可以直接读取内存中的内容 2009-12-28 11:19 0
水恋云雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	水恋云 8 楼从网上找了一下，貌似是要做一个文件过滤驱动，好像挺麻烦，还没搞定。谢谢大家。。。。 2009-12-30 14:09 0
Cauly 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Cauly 9 楼额，个人感觉应该用不着这么复杂把……也许可以勾住openfile函数然后解密该文件然后写入一个新的文件，再打开新文件把句柄返回给openfile……额，不知道对不对，lz可以试试看…… 2009-12-30 23:54 0
Cauly 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Cauly 10 楼前提是你能定位目标程序而且目标程序没有什么防护……如果不能定位就可能就要用到文件过滤驱动了…… 2009-12-30 23:55 0
resty 雪币： 424 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 190 粉丝 0 关注私信	resty 2 11 楼你去hook CreateFile和ReadFile应该可以，对该文件特殊处理一下 2009-12-31 10:42 0
水恋云雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	水恋云 12 楼谢谢大家，今天偶尔又转到看雪，看了以前发的帖子，这个问题已经搞定了，用的方法是拦截ReadFileA和ReadFileW两个api，目标程序没有什么防护，做了一个dll直接挂到了他的进程上，在他读取文件的时候，判断是不是要解密的加密文件，如果不是，就直接调用系统的ReadFile返回，如果是，就做解密处理。时隔一年多了，才来作总结，实在抱歉，希望能给将来遇到同样需求的朋友一点帮助。 2010-11-5 11:20 0
codeangel 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	codeangel 13 楼楼主是女人？其实其实，你可以把他的解密代码抓出来，嵌入到现在的程序中，就不用去注入DLL了。 2010-11-5 15:48 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 14 楼这样是可以的但是如果读文件的目标程序（别人的程序）做了很多措施（eg 杀软）不允许你用常规的dll注入这样就容易造成目标程序的非常不稳定当然如果目标程序就那么几个（10个之内），而且都是常规程序没做什么防护楼主的方法还是首选如果要做加解密程序最好还是用驱动过滤。。。 2010-11-5 17:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复