有大虾们进来讲下远程注入的工作原理！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

有大虾们进来讲下远程注入的工作原理！

发表于: 2009-12-30 20:48 4188

有大虾们进来讲下远程注入的工作原理！

loadymf

2009-12-30 20:48

4188

最近在研究winsock hook的问题
发现一个程序ip sniffer
开载地址：http://www.downcc.com/download/network/ip/sniffer.zip
感中的tool的winsock hook的功能很好用可以只监听一个程序的数据包。
想逆向出来自己搞。
目标程序所用语言为delphi。
跟踪后看到使用了
createremotethread创建了远程线程注入所要监听的程序。
也发现这个程序也调用createmapfile 创建了内存映射文件。

当然那个注入的文件是一个dll原来在exe文件，使用时释放了出来，注入目标程序。

没用hook可以理解。不过注入目标程序后
dll文件如何被执行，从那执行开始，有大虾帮们讲解一下。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・0

免费・0

支持

最新回复 (2)
黑天鹅雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	黑天鹅 2 楼我看罗老师汇编书里是通过创建线程写入数据然后从线程首地址执行不知道DLL是什么原理 2009-12-30 23:16 0
loadymf 雪币： 230 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 23 粉丝 1 关注私信	loadymf 3 楼这个程序中进入mysend或myrecv函是有防入机制的，如果说是改 API开始地址那么，所有程序API调用都会影响，dll程序在内存映射只有一份。所以如何钩指定的程序是我所要知道的。 2009-12-30 23:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

loadymf

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
黑天鹅雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	黑天鹅 2 楼我看罗老师汇编书里是通过创建线程写入数据然后从线程首地址执行不知道DLL是什么原理 2009-12-30 23:16 0
loadymf 雪币： 230 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 23 粉丝 1 关注私信	loadymf 3 楼这个程序中进入mysend或myrecv函是有防入机制的，如果说是改 API开始地址那么，所有程序API调用都会影响，dll程序在内存映射只有一份。所以如何钩指定的程序是我所要知道的。 2009-12-30 23:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复