首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]Ring3下劫持CreateProcess注入dll
发表于: 2010-12-8 22:38 144501

[原创]Ring3下劫持CreateProcess注入dll

zyhfut 活跃值
5
2010-12-8 22:38
144501

查看主题内容

收藏
免费 7
支持
分享
最新回复 (123)
wanghuitj
雪    币: 420
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
101
正在做一个涉及安全的项目,受教了。
2012-3-3 10:37
0
BoyXiao
雪    币: 244
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
102
Mark 学习学习
2012-3-3 11:14
0
zallen
雪    币: 46
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
103
mark
写的相当详细,楼主辛苦了
2012-3-18 17:11
0
qhkest
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
104
注入dll随系统启动,不让360提示的???
2012-3-18 17:22
0
小覃
雪    币: 615
活跃值: (172)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
105
这种代码网上多了去。。。。。。
2012-3-18 18:25
0
vvking
雪    币: 1737
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
106
正在看着方面的知识,留个脚印撒~~
2012-4-21 20:34
0
yuweiping
雪    币: 278
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
107
感谢主楼。。留个记号。。
2012-4-29 00:54
0
Hoiker
雪    币: 564
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
108
学习注入
2012-10-6 17:11
0
youye
雪    币: 1594
活跃值: (113)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
109
标记,开始补基础。。。。
2013-1-16 09:22
0
逆帅
雪    币: 64
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
110
mark
.
2013-1-18 20:23
0
safeboy
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
111
顶楼主,最近也在学习windows程序设计,先膜拜了
2013-1-18 20:34
0
pxhb
雪    币: 6593
活跃值: (4572)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
112
学到东西了,非常好
2013-1-20 18:41
0
huhete
雪    币: 157
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
113
char p[50] = {0};
sprintf( p, "%x-%x-MyCreateProcessA:%x-%x",*lpFuncAddr,lpFuncAddr,MyCreateProcess, ulCreateProcess );
OutLog( p );

if( *lpFuncAddr == ulCreateProcess )


为什么不能比较出来呢
2013-1-26 10:17
0
南宫世家
雪    币: 62
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
114
我靠,这东西。。。。。够狠。。。
2013-1-29 11:25
0
shuisjx
雪    币: 26
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
115
谢谢分享,学习下
2013-2-5 14:02
0
艾米哈柏
雪    币: 130
活跃值: (422)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
116
谢谢分享,学习下
2013-3-5 08:55
0
soechin
雪    币: 69
活跃值: (30)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
117
方法真不錯
只是。。。x64系統的explorer.exe的話...
2013-3-5 09:02
0
xhltoo
雪    币: 112
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
118
呵呵,不是所有的程序都是explorer.exe创建的,还有什么,有哪方面的书籍讲这些内容
2013-3-5 14:46
0
winsunxs
雪    币: 354
活跃值: (301)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
119
跟此贴的注入方法,有异曲同工之妙
http://bbs.pediy.com/showthread.php?t=163701
2013-3-6 23:09
0
Nermor
雪    币: 138
活跃值: (475)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
120
既然你都 HOOK createprocess 了, 在进程没有起来的时候先挂起,然后创建远程线程; 然后LoadLibrary 就行了;

不用你这样弄的挺麻烦, 搜索CALL 然后跳回来。。。

你自己的SHELLCODE

/*
      
$ ==>    >  60              pushad
$+1      >  9C              pushfd
$+2      >  68 11111111     push    11111111  //加载的dll名称
$+7      >  E8 444288A5     call    22222222  //LoadLibraryA地址
$+C      >  9D              popfd
$+D      >  61              popad
$+13     >- E9 495399B6     jmp     33333333  //跳转到第一个call函数开始
*/
原理差不多
2013-3-7 12:26
0
thisIs
雪    币: 535
活跃值: (245)
能力值: ( LV12,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
121
call reg
2013-3-7 13:02
0
Rookietp
雪    币: 1042
活跃值: (500)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
122
在试着举一反三来HOOK 输入表的时候,发现LZ一个问题,调试几次后,发现这句代码..

VirtualQuery( &lpFuncAddr, &stMemBasicInfo, sizeof(MEMORY_BASIC_INFORMATION) );

&lpFuncAddr 是指针的地址,而这里,更改属性的应该是指针指向的地址,也就是输入表的地址.
2013-3-12 11:46
0
nchxmoon
雪    币: 58
活跃值: (56)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
123
注入逃避杀软,有没什么好建议?
2017-3-14 11:45
0
ChengQing
雪    币: 573
活跃值: (1009)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
124
没有收藏功能。手工MARK
2017-3-15 17:14
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//