[原创]阻止远程注入代码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼 startaddr 是loadlibrary怎么办 2010-9-1 16:53 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 3 楼 handleThreadAttached 多加点判断呗 2010-9-1 16:55 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼加不完啊，还可以是任何dll里面的一段空间 2010-9-1 16:57 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 5 楼把加载dll的几个函数检查下就行了, 基本就能阻止代码注入了吧? 我就花了个把小时弄出来的, 提供一种思路而已, 纯属抛砖引玉. 2010-9-1 17:00 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼这种方式获得attach notification还是头一次见。一开始干掉Ldr里的flags就得了。我就花几分钟看看，提供一种评论而已，纯属蛋疼 2010-9-1 17:06 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 7 楼在没法注入的情况下, 你怎么得到PEB呢, 从而得到ldr entry呢当然, 我很早就觉 os 提供的权限机制是最好的保护伞, 现在每个用户的权限都是管理员, 基本不可能安全. 再牛的杀软, 在这种情境下, 被干掉只是迟早的事 2010-9-1 17:13 0
asd 雪币： 7155 活跃值： (3746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 8 楼求发哥头像的全图 2010-9-1 17:13 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 9 楼回应第一句： typedef struct _PROCESS_BASIC_INFORMATION { LONG ExitStatus; smPPEB PebBaseAddress; /* 看这里 */ ULONG_PTR AffinityMask; LONG BasePriority; ULONG_PTR UniqueProcessId; ULONG_PTR InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION; NtQueryInformationProcess(ProcessBasicInformation); 第二句不予评论。 2010-9-1 17:20 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 10 楼 hehe 无所不能的权限, 是没法被阻止的, 即使另一个权限也是无所不能所有的杀软与病毒, 比的都是谁先发现秘密而已 2010-9-1 17:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 11 楼 hehe 2010-9-1 17:45 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 12 楼自己 loaderpe 怎么防？ 2010-9-1 21:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼 startaddr 是loadlibrary怎么办 2010-9-1 16:53 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 3 楼 handleThreadAttached 多加点判断呗 2010-9-1 16:55 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼加不完啊，还可以是任何dll里面的一段空间 2010-9-1 16:57 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 5 楼把加载dll的几个函数检查下就行了, 基本就能阻止代码注入了吧? 我就花了个把小时弄出来的, 提供一种思路而已, 纯属抛砖引玉. 2010-9-1 17:00 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼这种方式获得attach notification还是头一次见。一开始干掉Ldr里的flags就得了。我就花几分钟看看，提供一种评论而已，纯属蛋疼 2010-9-1 17:06 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 7 楼在没法注入的情况下, 你怎么得到PEB呢, 从而得到ldr entry呢当然, 我很早就觉 os 提供的权限机制是最好的保护伞, 现在每个用户的权限都是管理员, 基本不可能安全. 再牛的杀软, 在这种情境下, 被干掉只是迟早的事 2010-9-1 17:13 0
asd 雪币： 7155 活跃值： (3746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 8 楼求发哥头像的全图 2010-9-1 17:13 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 9 楼回应第一句： typedef struct _PROCESS_BASIC_INFORMATION { LONG ExitStatus; smPPEB PebBaseAddress; /* 看这里 */ ULONG_PTR AffinityMask; LONG BasePriority; ULONG_PTR UniqueProcessId; ULONG_PTR InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION; NtQueryInformationProcess(ProcessBasicInformation); 第二句不予评论。 2010-9-1 17:20 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 10 楼 hehe 无所不能的权限, 是没法被阻止的, 即使另一个权限也是无所不能所有的杀软与病毒, 比的都是谁先发现秘密而已 2010-9-1 17:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 11 楼 hehe 2010-9-1 17:45 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 12 楼自己 loaderpe 怎么防？ 2010-9-1 21:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复