用进程注入来实现一个壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 2 楼算是一个演示吧,离实用还有些距离,至少考虑9X的系统的远程线程载入,建议加入9X下的0环代码实现 2004-6-2 13:41 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 3 楼我只是给个原理而已，也很简单，实用的找老王。这个贴子好象不够资格置顶，请版主把他放下来吧。 2004-6-2 13:44 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼 9x呢？ 2004-6-2 14:58 0
StudentII 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 1 关注私信	StudentII 5 楼最初由 forgot 发布 9x呢？ 9x用老王的方法呀，Hook注入dll，这是经典的方法 2004-6-2 15:13 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 6 楼其实也可以用这种方法直接建立一块映射内存将代码写入映射内存然后枚举所有进程--->挂起--->修改EIP处代码--->恢复执行--->挂起--->恢复EIP处代码--->恢复执行上面的方法9X 2000都能有 2004-6-2 15:28 0
二点雪币： 266 活跃值： (191) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 210 粉丝 1 关注私信	二点 1 7 楼 up! 2004-6-2 18:41 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 8 楼最初由 vcasm 发布其实也可以用这种方法直接建立一块映射内存将代码写入映射内存然后枚举所有进程--->挂起--->修改EIP处代码--->恢复执行--->挂起--->恢复EIP处代码--->恢复执行上面的方法9X 2000都能有不同进程得到的映射内存地址不一定一样吧？ 2004-6-2 19:49 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 9 楼其实我的壳用进程注入并不是为了建立调试器，调试器完全可以利用双进程的方式。因为我的壳本身就有一个DLL，而DLL正好方便注入，而注入可以用来在别的进程建立调试器，还有一个好处就是HOOK重要的API，比如用来防DUMP什么的。 2004-6-2 20:00 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼直接保存目标进程代码,写入执行你的代码再还原不就行了 2004-6-2 20:00 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 11 楼最初由老王发布其实我的壳用进程注入并不是为了建立调试器，调试器完全可以利用双进程的方式。因为我的壳本身就有一个DLL，而DLL正好方便注入，而注入可以用来在别的进程建立调试器，还有一个好处就是HOOK重要的API，比如用来防DUMP什么的。我在跟踪过程中发现 OpenProcess 好象被你 HOOK 了. 2004-6-2 21:20 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 12 楼最初由老王发布不同进程得到的映射内存地址不一定一样吧？不需要绝对地址直接读映射文件当然需要通过异常结构找出KERNEL32.dll和需要的几个API 呵呵说到这就能引出2个结果如果功能代码不大完全能够放到载入的执行体里面实现如果不好实现再放入映射空间 2004-6-2 21:45 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 13 楼最初由 simonzh2000 发布我在跟踪过程中发现 OpenProcess 好象被你 HOOK 了. 你说的对！不过后来改了！ 2004-6-2 23:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 2 楼算是一个演示吧,离实用还有些距离,至少考虑9X的系统的远程线程载入,建议加入9X下的0环代码实现 2004-6-2 13:41 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 3 楼我只是给个原理而已，也很简单，实用的找老王。这个贴子好象不够资格置顶，请版主把他放下来吧。 2004-6-2 13:44 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼 9x呢？ 2004-6-2 14:58 0
StudentII 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 1 关注私信	StudentII 5 楼最初由 forgot 发布 9x呢？ 9x用老王的方法呀，Hook注入dll，这是经典的方法 2004-6-2 15:13 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 6 楼其实也可以用这种方法直接建立一块映射内存将代码写入映射内存然后枚举所有进程--->挂起--->修改EIP处代码--->恢复执行--->挂起--->恢复EIP处代码--->恢复执行上面的方法9X 2000都能有 2004-6-2 15:28 0
二点雪币： 266 活跃值： (191) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 210 粉丝 1 关注私信	二点 1 7 楼 up! 2004-6-2 18:41 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 8 楼最初由 vcasm 发布其实也可以用这种方法直接建立一块映射内存将代码写入映射内存然后枚举所有进程--->挂起--->修改EIP处代码--->恢复执行--->挂起--->恢复EIP处代码--->恢复执行上面的方法9X 2000都能有不同进程得到的映射内存地址不一定一样吧？ 2004-6-2 19:49 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 9 楼其实我的壳用进程注入并不是为了建立调试器，调试器完全可以利用双进程的方式。因为我的壳本身就有一个DLL，而DLL正好方便注入，而注入可以用来在别的进程建立调试器，还有一个好处就是HOOK重要的API，比如用来防DUMP什么的。 2004-6-2 20:00 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼直接保存目标进程代码,写入执行你的代码再还原不就行了 2004-6-2 20:00 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 11 楼最初由老王发布其实我的壳用进程注入并不是为了建立调试器，调试器完全可以利用双进程的方式。因为我的壳本身就有一个DLL，而DLL正好方便注入，而注入可以用来在别的进程建立调试器，还有一个好处就是HOOK重要的API，比如用来防DUMP什么的。我在跟踪过程中发现 OpenProcess 好象被你 HOOK 了. 2004-6-2 21:20 0
vcasm 雪币： 260 活跃值： (162) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 12 楼最初由老王发布不同进程得到的映射内存地址不一定一样吧？不需要绝对地址直接读映射文件当然需要通过异常结构找出KERNEL32.dll和需要的几个API 呵呵说到这就能引出2个结果如果功能代码不大完全能够放到载入的执行体里面实现如果不好实现再放入映射空间 2004-6-2 21:45 0
老王雪币： 274 活跃值： (165) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 178 粉丝 2 关注私信	老王 1 13 楼最初由 simonzh2000 发布我在跟踪过程中发现 OpenProcess 好象被你 HOOK 了. 你说的对！不过后来改了！ 2004-6-2 23:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复