首页
社区
课程
招聘
[求助]Hook CreateProcessInternalW函数进行级联注入的问题
发表于: 2011-5-28 19:01 12723

[求助]Hook CreateProcessInternalW函数进行级联注入的问题

2011-5-28 19:01
12723
我hook了CreateProcessInternalW函数,在启动程序的时候先挂起目标程序,然后注入代码再hook目标程序的CreateProcessInternalW,这样在目标程序再创建子进程时又会被级联注入代码,在TX的Game(扣扣吸油)上试了一下,在登录进程都能注入成功,启动主程序的时候却不成功,也没有报什么错。直接被丫秒破了,感觉就像他绕过了hook一样,它是如何启动的呢,我很好奇,,,哪位能帮我解答下吗?各种可以防止创建进程时注入的方式都行。
难道是直接自己实现?使用服务号跳到内核。或者是直接用驱动启动的?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 533
活跃值: (54)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
可能是驱动保护,你的写内存被咔嚓了
2011-5-28 20:05
0
雪    币: 123
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
别人自己的代码完成了createprocess的大部分细节,包括CreateProcessInternalW,你当然拦截不到.不过其实还是很搓的....再仔细一点你就搞定了...
2011-5-28 21:38
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我已经把目标挂起了,是在注入的代码里面恢复主线程运行的的,如果注入失败,或者执行失败,目标主线程就恢复不了呀。
2011-5-29 01:26
0
雪    币: 458
活跃值: (421)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
5
我曾经hook过CreateProcessInternalW  没发现不能注入的进程啊。求具体哪款游戏。
2011-5-29 01:35
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
能注入,就是TX的QQ西游啊,你先用任务管理器测试,任务管理器可以运行子进程。
有了新的发现,貌似注入是成功了,在执行远程线程一瞬间后就把我的远程线程给结束了,我在远程线程里面创建了一个窗口的,发现窗口闪了一下就没了,以此推论的。不知道有木有隐藏线程的方法。
2011-5-29 01:44
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
看错了,我以为你说不能注入,这款游戏是可以注入,主进程(最后一个进程)中注入线程后执行了一下被kill了
2011-5-29 01:46
0
雪    币: 123
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
记得以前看过一个游戏是hook CreateProcessInternalW也无效的,目前启动2次主程序,第1次的主程序启动第2次那个同一文件的主程序,第2次启动的时候是通过他自己实现的createprocess来启动的.

你说的这个不清楚,不过得看你注入进去干了啥,记得他的anti会处理自己进程的线程创建的
2011-5-29 06:46
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
如果自己实现了createprocess的话,在内核hook应该可以吧。

这个好像是没有自己实现,而且我又hook了TerminateThread,果然在启动主程序的时候调用了TerminateThread,但是明明我在里面什么都没做就返回一个1,怎么它也能杀掉我的线程
2011-5-29 10:48
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
好吧,哥算是服了,,,千辛万苦实现无线程,居然在主进程中内存都读不了,丫怎么实现的啊。我可是木有用任何的api去读啊,直接访问内存的,,,
2011-5-29 16:58
0
游客
登录 | 注册 方可回帖
返回
//