首页
社区
课程
招聘
[原创]阻止远程注入代码
发表于: 2010-9-1 16:44 13016

[原创]阻止远程注入代码

2010-9-1 16:44
13016

代码还算比较简短
附件中可编译源代码.
在 xp sp3 中试验通过.


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (11)
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
2
startaddr 是loadlibrary怎么办
2010-9-1 16:53
0
雪    币: 334
活跃值: (78)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
handleThreadAttached 多加点判断呗
2010-9-1 16:55
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
4
加不完啊,还可以是任何dll里面的一段空间
2010-9-1 16:57
0
雪    币: 334
活跃值: (78)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
把加载dll的几个函数检查下就行了, 基本就能阻止代码注入了吧?
我就花了个把小时弄出来的, 提供一种思路而已, 纯属抛砖引玉.
2010-9-1 17:00
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
6
这种方式获得attach notification还是头一次见。一开始干掉Ldr里的flags就得了。我就花几分钟看看,提供一种评论而已,纯属蛋疼
2010-9-1 17:06
0
雪    币: 334
活跃值: (78)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
在没法注入的情况下, 你怎么得到PEB呢, 从而得到ldr entry呢

当然, 我很早就觉 os 提供的权限机制是最好的保护伞, 现在每个用户的权限都是管理员, 基本不可能安全. 再牛的杀软, 在这种情境下, 被干掉只是迟早的事
2010-9-1 17:13
0
雪    币: 7155
活跃值: (3746)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
asd
8
求发哥头像的全图
2010-9-1 17:13
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
9
回应第一句:

typedef struct _PROCESS_BASIC_INFORMATION {
    LONG ExitStatus;
    smPPEB PebBaseAddress; /* 看这里 */
    ULONG_PTR AffinityMask;
    LONG BasePriority;
    ULONG_PTR UniqueProcessId;
    ULONG_PTR InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;

NtQueryInformationProcess(ProcessBasicInformation);


第二句不予评论。
2010-9-1 17:20
0
雪    币: 334
活跃值: (78)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
hehe
无所不能的权限, 是没法被阻止的, 即使另一个权限也是无所不能
所有的杀软与病毒, 比的都是谁先发现秘密而已
2010-9-1 17:34
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
11
hehe
2010-9-1 17:45
0
雪    币: 419
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
自己 loaderpe 怎么防?
2010-9-1 21:34
0
游客
登录 | 注册 方可回帖
返回
//