[求助]DLL隐藏之线程处理函数无法执行-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 2 楼看看LdrIntilizeThunk有没有被Hook. 2012-5-10 00:09 0
keellisa 雪币： 335 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 59 粉丝 1 关注私信	keellisa 1 3 楼 [QUOTE=bithaha;1071190]看看LdrIntilizeThunk有没有被Hook.[/QUOTE。谢谢，我去看看。 2012-5-10 10:47 0
keellisa 雪币： 335 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 59 粉丝 1 关注私信	keellisa 1 4 楼谢谢bithaha！确实HOOK了。将其还原好后线程回调函数可以执行。我再具体研究下其如何阻止的。 2012-5-10 11:54 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 5 楼那是什么软件hook了LdrIntilizeThunk啊？阻止你函数执行的策略是什么？ 2012-5-10 13:35 0
keellisa 雪币： 335 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 59 粉丝 1 关注私信	keellisa 1 6 楼在创建线程时，系统会调用LdrInitializeThrunk函数进行线程环境初始化等工作。其策略就是HOOK LdrInitializeThrunk 。 1、有一个记录所有线程Handle的全局数组（不是PEB系统记录的那个），这个全局数组初步查看可能是线程句柄的白名单，就是已经经过检测合法的线程句柄；（这只是猜测，由于没有详细跟踪） 2、其钩子函数主要实现以下检测： a)判断其是否为线程句柄的白名单中，如果是，就放行。 b)如果不在白名单中，获得其线程回调函数的地址（LdrInitializeThrunk函数的第一个参数的0XB0位置）； c)从PEB中得到系统的所有DLL的基址和大小，判断这个线程的回调函数是否在这些DLL代码段内。 d)如果在其代码段内，则放行，否则阻止。由于DLL已经被隐藏，在PEB中已经搜索不到，所以被阻止。 2012-5-10 15:46 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 7 楼请问这是什么安全软件？那么有些安全技术需要用到动态代码？岂不是被阻止了 2012-5-14 19:17 0
albeta 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 8 楼看雪里头有段代码，可以不通过loadlibrary加载一个dll的。 2012-5-15 16:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 2 楼看看LdrIntilizeThunk有没有被Hook. 2012-5-10 00:09 0
keellisa 雪币： 335 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 59 粉丝 1 关注私信	keellisa 1 3 楼 [QUOTE=bithaha;1071190]看看LdrIntilizeThunk有没有被Hook.[/QUOTE。谢谢，我去看看。 2012-5-10 10:47 0
keellisa 雪币： 335 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 59 粉丝 1 关注私信	keellisa 1 4 楼谢谢bithaha！确实HOOK了。将其还原好后线程回调函数可以执行。我再具体研究下其如何阻止的。 2012-5-10 11:54 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 5 楼那是什么软件hook了LdrIntilizeThunk啊？阻止你函数执行的策略是什么？ 2012-5-10 13:35 0
keellisa 雪币： 335 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 59 粉丝 1 关注私信	keellisa 1 6 楼在创建线程时，系统会调用LdrInitializeThrunk函数进行线程环境初始化等工作。其策略就是HOOK LdrInitializeThrunk 。 1、有一个记录所有线程Handle的全局数组（不是PEB系统记录的那个），这个全局数组初步查看可能是线程句柄的白名单，就是已经经过检测合法的线程句柄；（这只是猜测，由于没有详细跟踪） 2、其钩子函数主要实现以下检测： a)判断其是否为线程句柄的白名单中，如果是，就放行。 b)如果不在白名单中，获得其线程回调函数的地址（LdrInitializeThrunk函数的第一个参数的0XB0位置）； c)从PEB中得到系统的所有DLL的基址和大小，判断这个线程的回调函数是否在这些DLL代码段内。 d)如果在其代码段内，则放行，否则阻止。由于DLL已经被隐藏，在PEB中已经搜索不到，所以被阻止。 2012-5-10 15:46 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 7 楼请问这是什么安全软件？那么有些安全技术需要用到动态代码？岂不是被阻止了 2012-5-14 19:17 0
albeta 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 8 楼看雪里头有段代码，可以不通过loadlibrary加载一个dll的。 2012-5-15 16:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复