能力值:
(RANK:1060 )
2 楼
startaddr 是loadlibrary怎么办
能力值:
( LV3,RANK:30 )
3 楼
handleThreadAttached 多加点判断呗
能力值:
(RANK:1060 )
4 楼
加不完啊,还可以是任何dll里面的一段空间
能力值:
( LV3,RANK:30 )
5 楼
把加载dll的几个函数检查下就行了, 基本就能阻止代码注入了吧?
我就花了个把小时弄出来的, 提供一种思路而已, 纯属抛砖引玉.
能力值:
(RANK:1060 )
6 楼
这种方式获得attach notification还是头一次见。一开始干掉Ldr里的flags就得了。我就花几分钟看看,提供一种评论而已,纯属蛋疼
能力值:
( LV3,RANK:30 )
7 楼
在没法注入的情况下, 你怎么得到PEB呢, 从而得到ldr entry呢
当然, 我很早就觉 os 提供的权限机制是最好的保护伞, 现在每个用户的权限都是管理员, 基本不可能安全. 再牛的杀软, 在这种情境下, 被干掉只是迟早的事
能力值:
( LV2,RANK:10 )
8 楼
求发哥头像的全图
能力值:
(RANK:1060 )
9 楼
回应第一句:
typedef struct _PROCESS_BASIC_INFORMATION {
LONG ExitStatus;
smPPEB PebBaseAddress; /* 看这里 */
ULONG_PTR AffinityMask;
LONG BasePriority;
ULONG_PTR UniqueProcessId;
ULONG_PTR InheritedFromUniqueProcessId;
} PROCESS_BASIC_INFORMATION;
NtQueryInformationProcess(ProcessBasicInformation);
第二句不予评论。
能力值:
( LV3,RANK:30 )
10 楼
hehe
无所不能的权限, 是没法被阻止的, 即使另一个权限也是无所不能
所有的杀软与病毒, 比的都是谁先发现秘密而已
能力值:
(RANK:1060 )
11 楼
能力值:
( LV2,RANK:10 )
12 楼
自己 loaderpe 怎么防?