首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]Process Explorer 是如何搜索进程模块的?
发表于: 2011-5-3 09:50 6098

[讨论]Process Explorer 是如何搜索进程模块的?

jasonnbfan 活跃值
8
2011-5-3 09:50
6098
对module list 断链,HashTable 断链,Process Explorer 还是能看到。

请教Process Explorer 搜索进程模块的原理。

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (9)
ImHolly
雪    币: 412
活跃值: (30)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
2
貌似是搜内存实现的
2011-5-3 11:03
0
jasonnbfan
雪    币: 949
活跃值: (18)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
3
搜索内存?整个链我的清掉了,还是能看到,他搜索那里的内存?
PE头清掉还是能看见....
2011-5-3 11:08
0
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
4
没注意过,不过应该没这么强吧~
2011-5-3 11:26
0
jasonnbfan
雪    币: 949
活跃值: (18)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
5
断链,断HASHTable, 抹掉整个PE头,搜索抹掉整个进程空间里的模块名,....貌似不妨碍Process Explorer....
2011-5-3 12:03
0
ImHolly
雪    币: 412
活跃值: (30)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
6
我的意思是VAD里面搜,或者你在用户态下判断某块内存是可执行镜像后,再到VAD里面比对
2011-5-3 17:34
0
ImHolly
雪    币: 412
活跃值: (30)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
7
不自己解析VAD,用NtQueryVirtualMemory也可以
2011-5-3 18:35
0
网络游侠
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
8
这个没用,早试过了,人家通过区段一样可以枚举出来。我见过红伞就是这么干的!
2011-5-3 20:33
0
leeone
雪    币: 384
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
这厮竟然这么牛X啊!
2011-5-3 21:16
0
jasonnbfan
雪    币: 949
活跃值: (18)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
10
PE 头抹了怎么定位区段,应该是还有别的地方有信息。
2011-5-4 10:37
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//