首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. ¥付费问答
    3. 发新帖
[旧帖] [新手]如何知道inject程序修改了宿主程序的哪些地址的内容 0.00雪花
2012-5-8 13:30 3863

[旧帖] [新手]如何知道inject程序修改了宿主程序的哪些地址的内容 0.00雪花

evilight 活跃值
1
2012-5-8 13:30
3863
开着360杀毒,有时候会看到提示某程序要inject另外的程序。
我的问题是如何能获得inject程序修改宿主程序的所有地址及修改内容呢?
有没有什么比较好的工具可以全部截获下来,而不是一点点去跟?

新手呀新手,请不吝赐教。。

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (7)
evilor
雪    币: 297
活跃值: (225)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
私信
evilor 2012-5-8 13:37
2
0
内存修改监视器?
evilight
雪    币: 235
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
evilight 1 2012-5-8 14:24
3
0
找了好几个,要么不能下载,要么被报毒。
有什么比较官方的类似软件么?
yezhulove
雪    币: 1787
活跃值: (340)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
yezhulove 2012-5-8 14:55
4
0
XT可以扫描到修改的地方。
fosom
雪    币: 1839
活跃值: (295)
能力值: ( LV9,RANK:370 )
在线值:
发帖
回帖
粉丝
私信
fosom 8 2012-5-8 15:24
5
0
那你不如自己写一个:
做全进程的校验太费时间,太消耗CPU。

1,用VirtualQueryEx查询内存片状态,只要Inject一定要修改内存可写可执行的状态。
  这样仅对被修改了内存状态的片检查。
2,仅对Code段的内存检查。对data,rdata,idta,资源段,等等都不需要检查。
  这样有可以减少检查范围。

一般的Code段不会太大的,就Wow的Code节也才780000h,然后用kvm  算法,速度很快。
1秒检查1次,也不会影响,主程序的正常执行。
evilight
雪    币: 235
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
evilight 1 2012-5-10 22:45
6
0
是指XueTr么?
evilight
雪    币: 235
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
evilight 1 2012-5-10 22:49
7
0
下载到了内存修改监视器源码,但会释放一个MemWrite.sys,报毒。
而且MemWrite.sys是从代码里一个buff产生出来的。感觉有点担心,如果是正常的东西,不应该需要动态生成,直接和可执行代码放一起就好了呀。。
evilight
雪    币: 235
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
evilight 1 2012-5-10 22:50
8
0
这个等我这样的新手弄懂自己做出来有难度呀。
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回