[讨论]启动进程有这么另类的方法？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2 楼搞清楚原因了，昨天下断SetWindowsHookExW也没有断下，我还以为是什么奇技淫巧。原来它是首次运行时调用SetWindowsHookExA往Explorer注入一个DLL，类型为WH_CALLPROC，被注入进程的DllMain内部再次调用LoadLibrary增加计数，这样本进程退出后，被注入的Dll不会被卸载。第二次调用的时候就不再调用SetWindowsHookExA了，所以下断SetWindowsHookEx也就没能断下。然后调用RegisterWindowMessageA注册一个自定义消息，这个自定义消息由注入的DLL来处理，所以自启动就是往Explorer注册消息的窗口发消息，启动进程的代码在注入的DLL里面。 2010-7-31 09:45 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 3 楼这样能自启动吗？ 2010-7-31 10:11 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 4 楼所以自启动就是往Explorer注册消息的窗口发消息不明白 2010-7-31 10:13 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 5 楼 Explorer进程有一个叫"Program Manager"的窗口，对它调用RegisterWindowMessageA可以注册一个消息值（如果所有程序都遵守这规则就不会有消息值冲突的问题），然后调用SetWindowsHookEx监视该窗口所在线程的所有消息回调，这样就可以响应自己SendMessage发送的消息，响应的处理方法就是启动进程。 2010-7-31 10:23 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 6 楼明白的，但是这个不能做到关机重启动自己的进程呢。 2010-7-31 10:50 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 7 楼貌似我没有说在调试病毒或者木马吧？ 2010-7-31 10:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2 楼搞清楚原因了，昨天下断SetWindowsHookExW也没有断下，我还以为是什么奇技淫巧。原来它是首次运行时调用SetWindowsHookExA往Explorer注入一个DLL，类型为WH_CALLPROC，被注入进程的DllMain内部再次调用LoadLibrary增加计数，这样本进程退出后，被注入的Dll不会被卸载。第二次调用的时候就不再调用SetWindowsHookExA了，所以下断SetWindowsHookEx也就没能断下。然后调用RegisterWindowMessageA注册一个自定义消息，这个自定义消息由注入的DLL来处理，所以自启动就是往Explorer注册消息的窗口发消息，启动进程的代码在注入的DLL里面。 2010-7-31 09:45 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 3 楼这样能自启动吗？ 2010-7-31 10:11 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 4 楼所以自启动就是往Explorer注册消息的窗口发消息不明白 2010-7-31 10:13 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 5 楼 Explorer进程有一个叫"Program Manager"的窗口，对它调用RegisterWindowMessageA可以注册一个消息值（如果所有程序都遵守这规则就不会有消息值冲突的问题），然后调用SetWindowsHookEx监视该窗口所在线程的所有消息回调，这样就可以响应自己SendMessage发送的消息，响应的处理方法就是启动进程。 2010-7-31 10:23 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 6 楼明白的，但是这个不能做到关机重启动自己的进程呢。 2010-7-31 10:50 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 7 楼貌似我没有说在调试病毒或者木马吧？ 2010-7-31 10:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复