能力值:
( LV2,RANK:10 )
|
-
-
26 楼
mark一下,感谢分享。
|
能力值:
( LV2,RANK:10 )
|
-
-
27 楼
我也要mark一下
|
能力值:
( LV9,RANK:610 )
|
-
-
28 楼
按名字查找部分二分一下就完美了
|
能力值:
( LV2,RANK:10 )
|
-
-
29 楼
今天再次查看时发现了dll转发的情况。多谢指教。
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
今天再次查看时发现了dll转发的情况。多谢指教。
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
学习了,谢谢楼主分享
|
能力值:
( LV6,RANK:80 )
|
-
-
32 楼
找到问题所在 感谢
|
能力值:
( LV4,RANK:40 )
|
-
-
33 楼
仔细说起来...我在内核看过这个 貌似是一个表 在ntdll里面 r0 r3都可以抹掉
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
一个DLL转发的例子,结果很有意思。 <kernel32.GetProcessMitigationPolicy>
7784F6F5 61 70 69 2D 6D 73 2D 77 69 6E 2D 63 6F 72 65 2D api-ms-win-core-
7784F705 70 72 6F 63 65 73 73 74 68 72 65 61 64 73 2D 6C processthreads-l
7784F715 31 2D 31 2D 31 2E 47 65 74 50 72 6F 63 65 73 73 1-1-1.GetProcess
7784F725 4D 69 74 69 67 61 74 69 6F 6E 50 6F 6C 69 63 79 MitigationPolicy
再次进入 MyGetProcAddress过程,调用 LoadLibraryA获取api-ms-win-core-processthreads-l1-1-1.dll模块句柄,该句柄由LdrLoadDll返回结果,等于 kernel32.dll,接着进入死循环。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
MsScotch
一个DLL转发的例子,结果很有意思。 <kernel32.GetProcessMitigationPolicy>
7784F6F5& ...
请问这个问题怎么解决呢
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
freesec
请问这个问题怎么解决呢
一个奇怪的解决方案:判断模块句柄优先,是kernel32则过滤
最后于 2020-3-20 10:17
被MsScotch编辑
,原因:
|
能力值:
( LV1,RANK:0 )
|
-
-
37 楼
看看!!!谢谢分享!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
收下收下。
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
厉害了,以后好好研究一些
|
|
|
|
