一个程序创建个子进程后关闭自己附加子进程的问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (41) ◀ 1 2
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 26 楼我估计这软件就和风随雨行说的走了2个路线这个信息我利用不上啊。。。。这是这个软件软件.rar 大家帮忙看看吧上传的附件：软件.rar （834.93kb，5次下载） 2010-2-28 23:48 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 27 楼我说的就是OD插件 2010-3-1 00:10 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 28 楼我往那个方向努力吧。。。。。。貌似要编程很厉害的 2010-3-1 00:11 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 29 楼第2个writeprocess是写文件头的，你把那个内存复制下来，贴到b.exe的开头上去 2010-3-1 00:12 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 30 楼至于第1个writeprocess，没研究过，是写的api 部分的内存 2010-3-1 00:12 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 31 楼恩先谢谢了我去试试这个不是 b文件还是第一个文件的子进程我去试试 dump 内存或者用winhex 把内存弄出来看看好使不。。。。 2010-3-1 00:15 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 32 楼我写了个dump的插件，用OD打开程序后，使用菜单插件->Dump Memory->Dump,弹出一个对话框，只能输入10进制数，请注意转换。dump后的数据，存在d:\dump.dat，随手写的插件，请见谅。上传的附件： DumpMemory.rar （17.79kb，2次下载） 2010-3-1 00:53 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 33 楼我去试试好不好使都太感谢了我附加了那个子进程用插件dump一次出现个cmd框马上就没了我在第二个writeprocess时候用插件dump一次内存效果一样。。。 2010-3-1 00:54 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 34 楼 dump后的数据，存在d:\dump.dat 2010-3-1 09:21 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 35 楼只能输入10进制数 2010-3-1 09:25 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 36 楼恩我改成exe 名字了但是运行不了还需要做些什么吗 2010-3-1 10:18 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 37 楼看不明白嘎嘎 2010-3-1 10:38 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 38 楼 004808A9 7519 改成EB19 004808E5 750F 改成EB0F 0048092B 0F84AA010000 改成 909090909090 00480964 0F8465010000 改成 745F90909090 程序名字是 : 过滤号码这个是要给子进程做loader 主进程也叫过滤号码主进程创建子进程后自己关闭了现有的工具我没找到能做的 2010-3-1 12:51 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 39 楼网址不能改的吗？网页打开错误。而且点手动刷新会出错啊 2010-3-1 13:51 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 40 楼感谢大家的帮助问题解决了 2010-3-1 19:19 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 41 楼晕死，把我插件DUMP下来的数据写到加载后的b.exe，然后用公用的EXE DUMP插件 2010-3-1 19:49 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 42 楼呵呵，只要Resume b.exe进程的时候，用LoadPE 把它DUMP下来就行了 2010-3-5 23:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (41) ◀ 1 2
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 26 楼我估计这软件就和风随雨行说的走了2个路线这个信息我利用不上啊。。。。这是这个软件软件.rar 大家帮忙看看吧上传的附件：软件.rar （834.93kb，5次下载） 2010-2-28 23:48 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 27 楼我说的就是OD插件 2010-3-1 00:10 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 28 楼我往那个方向努力吧。。。。。。貌似要编程很厉害的 2010-3-1 00:11 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 29 楼第2个writeprocess是写文件头的，你把那个内存复制下来，贴到b.exe的开头上去 2010-3-1 00:12 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 30 楼至于第1个writeprocess，没研究过，是写的api 部分的内存 2010-3-1 00:12 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 31 楼恩先谢谢了我去试试这个不是 b文件还是第一个文件的子进程我去试试 dump 内存或者用winhex 把内存弄出来看看好使不。。。。 2010-3-1 00:15 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 32 楼我写了个dump的插件，用OD打开程序后，使用菜单插件->Dump Memory->Dump,弹出一个对话框，只能输入10进制数，请注意转换。dump后的数据，存在d:\dump.dat，随手写的插件，请见谅。上传的附件： DumpMemory.rar （17.79kb，2次下载） 2010-3-1 00:53 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 33 楼我去试试好不好使都太感谢了我附加了那个子进程用插件dump一次出现个cmd框马上就没了我在第二个writeprocess时候用插件dump一次内存效果一样。。。 2010-3-1 00:54 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 34 楼 dump后的数据，存在d:\dump.dat 2010-3-1 09:21 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 35 楼只能输入10进制数 2010-3-1 09:25 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 36 楼恩我改成exe 名字了但是运行不了还需要做些什么吗 2010-3-1 10:18 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 37 楼看不明白嘎嘎 2010-3-1 10:38 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 38 楼 004808A9 7519 改成EB19 004808E5 750F 改成EB0F 0048092B 0F84AA010000 改成 909090909090 00480964 0F8465010000 改成 745F90909090 程序名字是 : 过滤号码这个是要给子进程做loader 主进程也叫过滤号码主进程创建子进程后自己关闭了现有的工具我没找到能做的 2010-3-1 12:51 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 39 楼网址不能改的吗？网页打开错误。而且点手动刷新会出错啊 2010-3-1 13:51 0
liuyangder 雪币： 103 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 61 粉丝 0 关注私信	liuyangder 40 楼感谢大家的帮助问题解决了 2010-3-1 19:19 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 41 楼晕死，把我插件DUMP下来的数据写到加载后的b.exe，然后用公用的EXE DUMP插件 2010-3-1 19:49 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 42 楼呵呵，只要Resume b.exe进程的时候，用LoadPE 把它DUMP下来就行了 2010-3-5 23:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

一个程序创建个子进程后关闭自己 附加子进程的问题

一个程序创建个子进程后关闭自己附加子进程的问题