[求助]Hook CreateProcessInternalW函数进行级联注入的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
凉风雪币： 533 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	凉风 2 楼可能是驱动保护，你的写内存被咔嚓了 2011-5-28 20:05 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 3 楼别人自己的代码完成了createprocess的大部分细节,包括CreateProcessInternalW,你当然拦截不到.不过其实还是很搓的....再仔细一点你就搞定了... 2011-5-28 21:38 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 4 楼我已经把目标挂起了，是在注入的代码里面恢复主线程运行的的，如果注入失败，或者执行失败，目标主线程就恢复不了呀。 2011-5-29 01:26 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 5 楼我曾经hook过CreateProcessInternalW 没发现不能注入的进程啊。求具体哪款游戏。 2011-5-29 01:35 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 6 楼能注入，就是TX的QQ西游啊，你先用任务管理器测试，任务管理器可以运行子进程。有了新的发现，貌似注入是成功了，在执行远程线程一瞬间后就把我的远程线程给结束了，我在远程线程里面创建了一个窗口的，发现窗口闪了一下就没了，以此推论的。不知道有木有隐藏线程的方法。 2011-5-29 01:44 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 7 楼看错了，我以为你说不能注入，这款游戏是可以注入，主进程（最后一个进程）中注入线程后执行了一下被kill了 2011-5-29 01:46 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 8 楼记得以前看过一个游戏是hook CreateProcessInternalW也无效的,目前启动2次主程序,第1次的主程序启动第2次那个同一文件的主程序,第2次启动的时候是通过他自己实现的createprocess来启动的. 你说的这个不清楚,不过得看你注入进去干了啥,记得他的anti会处理自己进程的线程创建的 2011-5-29 06:46 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 9 楼如果自己实现了createprocess的话，在内核hook应该可以吧。这个好像是没有自己实现，而且我又hook了TerminateThread，果然在启动主程序的时候调用了TerminateThread，但是明明我在里面什么都没做就返回一个1，怎么它也能杀掉我的线程 2011-5-29 10:48 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 10 楼好吧，哥算是服了，，，千辛万苦实现无线程，居然在主进程中内存都读不了，丫怎么实现的啊。我可是木有用任何的api去读啊，直接访问内存的，，， 2011-5-29 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
凉风雪币： 533 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	凉风 2 楼可能是驱动保护，你的写内存被咔嚓了 2011-5-28 20:05 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 3 楼别人自己的代码完成了createprocess的大部分细节,包括CreateProcessInternalW,你当然拦截不到.不过其实还是很搓的....再仔细一点你就搞定了... 2011-5-28 21:38 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 4 楼我已经把目标挂起了，是在注入的代码里面恢复主线程运行的的，如果注入失败，或者执行失败，目标主线程就恢复不了呀。 2011-5-29 01:26 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 5 楼我曾经hook过CreateProcessInternalW 没发现不能注入的进程啊。求具体哪款游戏。 2011-5-29 01:35 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 6 楼能注入，就是TX的QQ西游啊，你先用任务管理器测试，任务管理器可以运行子进程。有了新的发现，貌似注入是成功了，在执行远程线程一瞬间后就把我的远程线程给结束了，我在远程线程里面创建了一个窗口的，发现窗口闪了一下就没了，以此推论的。不知道有木有隐藏线程的方法。 2011-5-29 01:44 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 7 楼看错了，我以为你说不能注入，这款游戏是可以注入，主进程（最后一个进程）中注入线程后执行了一下被kill了 2011-5-29 01:46 0
JBoy 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 121 粉丝 0 关注私信	JBoy 8 楼记得以前看过一个游戏是hook CreateProcessInternalW也无效的,目前启动2次主程序,第1次的主程序启动第2次那个同一文件的主程序,第2次启动的时候是通过他自己实现的createprocess来启动的. 你说的这个不清楚,不过得看你注入进去干了啥,记得他的anti会处理自己进程的线程创建的 2011-5-29 06:46 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 9 楼如果自己实现了createprocess的话，在内核hook应该可以吧。这个好像是没有自己实现，而且我又hook了TerminateThread，果然在启动主程序的时候调用了TerminateThread，但是明明我在里面什么都没做就返回一个1，怎么它也能杀掉我的线程 2011-5-29 10:48 0
xupengpai 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	xupengpai 10 楼好吧，哥算是服了，，，千辛万苦实现无线程，居然在主进程中内存都读不了，丫怎么实现的啊。我可是木有用任何的api去读啊，直接访问内存的，，， 2011-5-29 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复