首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]Ring3下劫持CreateProcess注入dll
发表于: 2010-12-8 22:38 144502

[原创]Ring3下劫持CreateProcess注入dll

zyhfut 活跃值
5
2010-12-8 22:38
144502

查看主题内容

收藏
免费 7
支持
分享
最新回复 (123)
MyTipfocus
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
26
谢谢楼主的开源精神
2010-12-12 22:30
0
仑江海
雪    币: 20
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
27
劫持 注入 标记一下
谢谢楼主分享
2010-12-12 23:35
0
猥琐菜鸟
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
28
.太晚了..明天来细看..mark
2010-12-13 03:18
0
痞子辉
雪    币: 308
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
29
看帖一定要懂得回帖。。。
2010-12-13 13:23
0
hawkish
雪    币: 258
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
30
通俗易懂图文并茂。。。。。。
2010-12-13 19:54
0
sky科
雪    币: 240
活跃值: (443)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
31
向楼主学习!
2010-12-14 09:58
0
9571
雪    币: 106
活跃值: (276)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
32
好东西,在这个基础上建立了Hook的标准流程,再次感谢楼主
2010-12-14 12:02
0
寒冰心结
雪    币: 8221
活跃值: (2806)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
33
学习了.很不错的思路.
2010-12-14 14:44
0
YwdxY
雪    币: 347
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
34
感谢分享,学习
2010-12-14 19:10
0
tzl
雪    币: 242
活跃值: (1664)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
35
学习,写的很不错
2010-12-14 22:29
0
高军
雪    币: 322
活跃值: (113)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
36
好东西,收藏了
2010-12-15 14:48
0
avzz
雪    币: 264
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
37
好文章
楼主解决了在RING3由于进程保护导致注入失败的问题。
但是也出现了另外一个问题,如果直接修改IAT中某个函数的地址,也很容易被杀软干掉。
2010-12-15 17:05
0
whitehack
雪    币: 5095
活跃值: (2866)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
38
不错不错啊   很神奇啊
2010-12-15 20:08
0
hellotong
雪    币: 258
活跃值: (84)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
39
谢谢楼主分享!!!!1
2010-12-17 15:10
0
ufoufoufo
雪    币: 20
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
40
收藏了。哈哈
2010-12-17 16:41
0
bitt
雪    币: 435
活跃值: (1287)
能力值: ( LV13,RANK:388 )
在线值:
发帖
回帖
粉丝
私信
41
如果搜索到的第一个call未必会被执行呢
2010-12-17 19:41
0
swlilike
雪    币: 89
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
42
搜藏,,
2010-12-17 19:50
0
A伯
雪    币: 2336
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
43
好資料,,

謝謝了,,

有空交流一下
2010-12-17 21:36
0
shwsf
雪    币: 327
活跃值: (30)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
44
好东西,谢谢楼主分享.
2010-12-18 20:15
0
tornodo
雪    币: 437
活跃值: (110)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
45


顶起来。。。。。。。。。。。。。。。
2010-12-19 20:54
0
subme1
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
46
先顶一下收藏,代码慢慢再看
2010-12-19 22:55
0
cnlife
雪    币: 160
活跃值: (209)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
47
不错不错。下来看看。
2010-12-20 01:08
0
雪yaojun
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
48
我想请问一下:某些程序运行后就Hook了 OpenProcess 读写进程这些函数。
如果利用工具恢复SSDT后,隔几秒又被Hook了。
如果按照楼主的思路。
在进程创建之前就首先注入到进程内部。。
那是不是就可以饶过被Hook的函数从而直接操作该进程的内存了?
2010-12-20 02:47
0
qiaoyun
雪    币: 15
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
49
一注入explorer.exe杀毒软件就提示了!
2010-12-20 17:08
0
Captains
雪    币: 305
活跃值: (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
50
劫持 注入 标记一下
感谢分享
2010-12-21 17:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//