首页
社区
课程
招聘
[原创]腾讯2010竞赛第三阶段题目思路+代码
发表于: 2010-11-22 10:18 15447

[原创]腾讯2010竞赛第三阶段题目思路+代码

2010-11-22 10:18
15447

本文使用注入DLL设置硬件断点以及模拟执行指令的方式来记录API调用。流程如下:

1,将EXE自身复制一份,修改入口点和DLL标志,变成xixihaha.dll。
2,将xixihaha.dll注入目标进程。
3,DLL会挂钩以下5个函数:


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (21)
雪    币: 7325
活跃值: (3803)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
2
第一时间前来膜拜
2010-11-22 10:28
0
雪    币: 1115
活跃值: (122)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
3
把这5个函数放到内核中挂钩就更完美了,这样就可以防止测试程序使用sysenter指令绕过这几个函数。另外,楼主hook了KiUserExceptionDispatcher,忘记hook ZwContinue了。
这个答案居然才得了第三真的挺亏的。
另外, "xixihaha"这个名字好熟悉啊.........
2010-11-22 11:11
0
雪    币: 279
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
做的真好阿, 膜拜
2010-11-22 11:11
0
雪    币: 678
活跃值: (101)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
5
纯粹的膜拜,向大牛学习。
2010-11-22 11:19
0
雪    币: 334
活跃值: (151)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
6
来膜拜的,下载看看如何模拟指令运行和异常处理
2010-11-22 13:09
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
牛人,看不懂!!。。。
2010-11-23 10:54
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
果然强..不过个人不喜欢使用喜用系统API.能手动实现的全部自己实现..竞赛什么的完全没兴趣..没RMB绝对不乱搞- -!`..
2010-11-23 11:10
0
雪    币: 1693
活跃值: (761)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
这个牛B,下代码学习.感谢..
2010-11-23 11:18
0
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
好强大的代码
2010-11-23 13:19
0
雪    币: 223
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
学习思路...
2010-11-23 17:31
0
雪    币: 6051
活跃值: (1441)
能力值: ( LV15,RANK:1473 )
在线值:
发帖
回帖
粉丝
12
前来学习+膜拜!
2010-11-23 19:29
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
收下了,牛就是牛啊
2010-11-28 18:53
0
雪    币: 112
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
向大牛学习。
2010-11-29 20:51
0
雪    币: 149
活跃值: (101)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
15
大多数写这类文章的高人,都只放片断源码,初学者往往无法顺利完成编程,
也有放了完整源码,但不讲编译条件,程度不好的还是无法完成,这样的学习效果有限,
像楼主这样把整个project发上来的真的很少,向楼主致敬
2011-1-12 14:43
0
雪    币: 231
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
运行了一下,在创建进程哪里可住了,然后DLL住进去没反应?
2011-1-13 00:28
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
神秘人果然厉害
2011-1-13 02:46
0
雪    币: 38
活跃值: (52)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
18
腾讯2010竞赛第三阶段题目思路+代码
感谢
2011-1-13 10:28
0
雪    币: 231
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
19
大伙在跑代码的时候能跑通吗?
我的跑不通
2011-1-16 00:26
0
雪    币: 773
活跃值: (442)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
20
顶。。。楼主,这个很不错
2011-1-16 12:05
0
雪    币: 1231
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
其中有太多的东西需要慢慢消化,先感谢LZ一下,顺便问一句:HOOK的时候使用PUSH RET指令返回真实DLL领空,而不是直接用JMP,原因是怕被检测到JMP吧?
2011-1-20 10:17
0
雪    币: 112
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
学习+膜拜!
2011-1-21 10:16
0
游客
登录 | 注册 方可回帖
返回
//