[原创]完美实现GetProcAddress-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (37) ◀ 1 2
saloyun 雪币： 67 活跃值： (1328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 198 粉丝 1 关注私信	saloyun 2014-7-10 08:54 26 楼 0 mark一下，感谢分享。
Backlight 雪币： 239 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 84 粉丝 0 关注私信	Backlight 2014-7-10 09:25 27 楼 0 我也要mark一下
achillis 雪币： 7514 活跃值： (488) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 40 关注私信	achillis 15 2014-8-3 18:33 28 楼 0 按名字查找部分二分一下就完美了
liu刘小哥哥雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	liu刘小哥哥 2015-4-14 17:17 29 楼 0 今天再次查看时发现了dll转发的情况。多谢指教。
zylyy 雪币： 143 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 328 粉丝 1 关注私信	zylyy 2015-4-14 17:18 30 楼 0 今天再次查看时发现了dll转发的情况。多谢指教。
victory石头雪币： 8 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	victory石头 2015-7-28 15:15 31 楼 0 学习了，谢谢楼主分享
maxk 雪币： 365 活跃值： (126) 能力值： ( LV6，RANK：80 ) 在线值：发帖 7 回帖 16 粉丝 3 关注私信	maxk 1 2018-2-11 00:46 32 楼 0 找到问题所在感谢
萌克力雪币： 434 活跃值： (1671) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 603 粉丝 28 关注私信	萌克力 2018-2-11 03:19 33 楼 0 仔细说起来...我在内核看过这个貌似是一个表在ntdll里面 r0 r3都可以抹掉
MsScotch 雪币： 3785 活跃值： (849) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 2 关注私信	MsScotch 2019-12-25 19:35 34 楼 1 一个DLL转发的例子，结果很有意思。 <kernel32.GetProcessMitigationPolicy> 7784F6F5 61 70 69 2D 6D 73 2D 77 69 6E 2D 63 6F 72 65 2D api-ms-win-core- 7784F705 70 72 6F 63 65 73 73 74 68 72 65 61 64 73 2D 6C processthreads-l 7784F715 31 2D 31 2D 31 2E 47 65 74 50 72 6F 63 65 73 73 1-1-1.GetProcess 7784F725 4D 69 74 69 67 61 74 69 6F 6E 50 6F 6C 69 63 79 MitigationPolicy 再次进入 MyGetProcAddress过程，调用 LoadLibraryA获取api-ms-win-core-processthreads-l1-1-1.dll模块句柄，该句柄由LdrLoadDll返回结果，等于 kernel32.dll，接着进入死循环。。。
freesec 雪币： 31 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	freesec 2020-1-21 15:25 35 楼 0 MsScotch 一个DLL转发的例子，结果很有意思。  <kernel32.GetProcessMitigationPolicy> 7784F6F5& ... 请问这个问题怎么解决呢
MsScotch 雪币： 3785 活跃值： (849) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 2 关注私信	MsScotch 2020-3-20 09:41 36 楼 0 freesec 请问这个问题怎么解决呢一个奇怪的解决方案：判断模块句柄优先，是kernel32则过滤最后于 2020-3-20 10:17 被MsScotch编辑，原因：
zbc200414096 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	zbc200414096 6天前 37 楼 0 看看！！！谢谢分享！！！
HeartBoken 雪币： 353 活跃值： (155) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	HeartBoken 4天前 38 楼 0 收下收下。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

saloyun

雪币： 67

活跃值： (1328)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

198

粉丝

1

关注

私信

saloyun 2014-7-10 08:54: 26 楼
0

mark一下，感谢分享。

Backlight

雪币： 239

活跃值： (41)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

84

粉丝

0

关注

私信

Backlight 2014-7-10 09:25: 27 楼
0

我也要mark一下

achillis

雪币： 7514

活跃值： (488)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

40

关注

私信

achillis 15 2014-8-3 18:33: 28 楼
0

按名字查找部分二分一下就完美了

liu刘小哥哥

雪币： 0

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

5

粉丝

0

关注

私信

liu刘小哥哥 2015-4-14 17:17: 29 楼
0

今天再次查看时发现了dll转发的情况。多谢指教。

zylyy

雪币： 143

活跃值： (38)

能力值：

( LV2，RANK：10 )

在线值：

发帖

11

回帖

328

粉丝

1

关注

私信

zylyy 2015-4-14 17:18: 30 楼
0

今天再次查看时发现了dll转发的情况。多谢指教。

victory石头

雪币： 8

活跃值： (11)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

41

粉丝

0

关注

私信

victory石头 2015-7-28 15:15: 31 楼
0

学习了，谢谢楼主分享

maxk

雪币： 365

活跃值： (126)

能力值：

( LV6，RANK：80 )

在线值：

发帖

7

回帖

16

粉丝

3

关注

私信

maxk 1 2018-2-11 00:46: 32 楼
0

找到问题所在感谢

萌克力

雪币： 434

活跃值： (1671)

能力值：

( LV4，RANK：40 )

在线值：

发帖

35

回帖

603

粉丝

28

关注

私信

萌克力 2018-2-11 03:19: 33 楼
0

仔细说起来...我在内核看过这个貌似是一个表在ntdll里面 r0 r3都可以抹掉

MsScotch

雪币： 3785

活跃值： (849)

能力值：

( LV2，RANK：10 )

在线值：

发帖

3

回帖

325

粉丝

2

关注

私信

MsScotch 2019-12-25 19:35: 34 楼
1

一个DLL转发的例子，结果很有意思。

 <kernel32.GetProcessMitigationPolicy>
7784F6F5                                       61 70 69 2D 6D 73 2D 77 69 6E 2D 63 6F 72 65 2D  api-ms-win-core-  
7784F705                                       70 72 6F 63 65 73 73 74 68 72 65 61 64 73 2D 6C  processthreads-l  
7784F715                                       31 2D 31 2D 31 2E 47 65 74 50 72 6F 63 65 73 73  1-1-1.GetProcess  
7784F725                                       4D 69 74 69 67 61 74 69 6F 6E 50 6F 6C 69 63 79  MitigationPolicy

再次进入 MyGetProcAddress过程，调用 LoadLibraryA获取api-ms-win-core-processthreads-l1-1-1.dll模块句柄，该句柄由LdrLoadDll返回结果，等于 kernel32.dll，接着进入死循环。。。