首页
社区
课程
招聘
[旧帖] [原创]New a way to inject DLL 0.00雪花
发表于: 2011-4-7 15:50 2937

[旧帖] [原创]New a way to inject DLL 0.00雪花

2011-4-7 15:50
2937

New a way to inject DLL, utilize IMM to active DLL

3147EA2    FF15 B88B1413   call dword ptr ds:[13148BB8]                ; kernel32.CreateFileA

  0012FD60   0012FE84  |FileName = "C:\WINDOWS\system32\at.exe"
  0012FD64   00000000  |Access = 0
  0012FD68   00000001  |ShareMode = FILE_SHARE_READ
  0012FD6C   00000000  |pSecurity = NULL
  0012FD70   00000001  |Mode = CREATE_NEW
  0012FD74   00000080  |Attributes = NORMAL
  0012FD78   00000000  \hTemplateFile = NULL

; Install a new IMM

1314794F    E8 6C0E0000     call B85DD0~1.131487C0      ;call IMMInstallIMEA

1314795B    8B1D 3C101413   mov ebx,dword ptr ds:[<&USER32.FindWindowEx>; USER32.FindWindowExA

13147961    6A 00           push 0
13147963    6A 00           push 0
13147965    6A 00           push 0
13147967    6A 00           push 0
13147969    FFD3            call ebx
1314796B    8BF0            mov esi,eax
1314796D    85F6            test esi,esi
1314796F    74 1B           je short B85DD0~1.1314798C
13147971    57              push edi
13147972    6A 01           push 1
13147974    6A 50           push 50
13147976    56              push esi
13147977    FF15 40101413   call dword ptr ds:[<&USER32.SendMessageA>]  ; USER32.SendMessageA

; Activate IMM, malicious dll run
1314797D    6A 00           push 0
1314797F    6A 00           push 0
13147981    56              push esi
13147982    6A 00           push 0
13147984    FFD3            call ebx
13147986    8BF0            mov esi,eax
13147988    85F6            test esi,esi
1314798A  ^ 75 E5           jnz short B85DD0~1.13147971

  0012FC44   001401B2  ?.   |hWnd = 1401B2
  0012FC48   00000050  P...  |Message = WM_INPUTLANGCHANGEREQUEST
  0012FC4C   00000001  ...  |wParam = 1
  0012FC50   E0200804


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (9)
雪    币: 195
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
利用IMMInstallIMEA装载dll为输入法 在利用向指定窗体发送WM_INPUTLANGCHANGEREQUEST启用输入法
绝对的非主。
2011-4-7 16:17
0
雪    币: 118
活跃值: (55)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
3
非主流注入法+1
2011-4-7 17:05
0
雪    币: 4560
活跃值: (1002)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
相当不错的思路,顶楼主
2011-4-7 17:20
0
雪    币: 253
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
多老的技术了 还New?
2011-4-7 17:59
0
雪    币: 26
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我新发现的 支持一下
2011-4-8 09:26
0
雪    币: 195
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这个dll有什么限制么?楼主有没有测试过?
经过我的实验是不成功的。dll不包含指定资源镜像
2011-4-8 09:48
0
雪    币: 18
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
这是输入法注入?
2011-4-9 03:09
0
雪    币: 700
活跃值: (179)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
传说中的输入法注入,呵呵。
2011-4-12 00:59
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
N年前的技术了,别说原创了,杀软什么的全拦截了
2011-4-12 10:29
0
游客
登录 | 注册 方可回帖
返回
//