-
-
[求助]GetProcAddress比较有意思的现象
-
发表于: 2010-11-26 14:35
-
今天想实现劫持explore的CreateProcess,然后修改被创建进程的entrypoint。首先解决的问题是远程线程dll注入explore,结果遇到个有趣的显现。很是迷惘,希望大牛解惑!
我简单写了个模拟现象的代码:
下面看看单步调试的输出结果:
直接运行的结果:
直接运行的结果是对的。
为什么单步会出现那个的结果。。很是迷惑
我简单写了个模拟现象的代码:
#include "stdafx.h"
#include <iostream.h>
#include <windows.h>
int main(int argc, char* argv[])
{
printf("Hello World!\n");
DWORD dwProcAddr = 0;
dwProcAddr = (DWORD)GetProcAddress( GetModuleHandle( "kernel32.dll" ), "CreateProcessA" );
cout<<hex<<dwProcAddr<<endl;
cin.get();
return 0;
}下面看看单步调试的输出结果:
直接运行的结果:
直接运行的结果是对的。
为什么单步会出现那个的结果。。很是迷惑
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
 劫持explore? 太邪恶了..先感染程序,不改入口点,杀毒就不报了,然后用explore改感染程序的入口点?太邪恶了...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
