[求助]怎样修改IAT加载自己的dll和函数，最好能不被杀软发现？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 2 楼应该不可能嘛，杀软的实时监控把你用的API都HOOK了啊，小菜的理解 2011-6-20 10:42 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 3 楼你要脱离系统的DLL库来编程的话倒是可以,把那些敏感的API自己实现应该是可以的,工作量有点大!~~还有一种就是搞掉杀软... 2011-6-20 15:54 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 4 楼写一段shellcode 进目标程序里，你的DLL就跑起来了。 2011-6-22 17:33 0
XPoy 雪币： 242 活跃值： (443) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 5 楼一个更好的思路，很多带签名的exe会LoadLibrary某个不知名DLL的。刚才看到LZ的题目，就开始写修改远程进程的IAT来载入DLL的代码。有点困就突然去看了LZ的帖子内容，原来是，又写马，又大目扬长的开口就要代码。其实这个小功能没什么意思不好玩，还是不写了。思路很简单，ReadProcessMemory从Ldr_data中获取目标进程的路径，然后从硬盘上的PE文件中解析IAT data directroy，先找到要HOOK的API所对应DLL，再分hint和API字符串名称二种方式把要HOOK的API在IAT中的具体地址找到，接着就开始WriteProcessMemory写入带LoadLibraryA自己DLl的shellcode，和覆盖这shellcode的地址到IAT对应APi的位置了。 2011-6-23 03:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 2 楼应该不可能嘛，杀软的实时监控把你用的API都HOOK了啊，小菜的理解 2011-6-20 10:42 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 3 楼你要脱离系统的DLL库来编程的话倒是可以,把那些敏感的API自己实现应该是可以的,工作量有点大!~~还有一种就是搞掉杀软... 2011-6-20 15:54 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 4 楼写一段shellcode 进目标程序里，你的DLL就跑起来了。 2011-6-22 17:33 0
XPoy 雪币： 242 活跃值： (443) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 5 楼一个更好的思路，很多带签名的exe会LoadLibrary某个不知名DLL的。刚才看到LZ的题目，就开始写修改远程进程的IAT来载入DLL的代码。有点困就突然去看了LZ的帖子内容，原来是，又写马，又大目扬长的开口就要代码。其实这个小功能没什么意思不好玩，还是不写了。思路很简单，ReadProcessMemory从Ldr_data中获取目标进程的路径，然后从硬盘上的PE文件中解析IAT data directroy，先找到要HOOK的API所对应DLL，再分hint和API字符串名称二种方式把要HOOK的API在IAT中的具体地址找到，接着就开始WriteProcessMemory写入带LoadLibraryA自己DLl的shellcode，和覆盖这shellcode的地址到IAT对应APi的位置了。 2011-6-23 03:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复