-
-
[分享]没想过的神奇的思路系列:跟某些线程过不去
-
发表于: 2012-12-3 18:08
-
我们都知道某些东西的根源是远程线程与DLL注入。如果才能把注入和谐呢?这很简单也很复杂~
在win8之前,论坛里某个人发表的某代码(http://bbs.pediy.com/showthread.php?t=119649)是可以的。
到了win8的时候用这个带就立刻亮了
——会出现神奇的咔嚓,主要是因为PEB和LdrLink模型的变更(PEB不在fs:[0x30]了,和采用了该死的RedBlackLink...)
~
but 我们有新思路,不去获取peb直接找一个LdrEntry就好了,使用神秘api:LdrFindEntryForAddress
原型:
NTSYSAPI
NTSTATUS
NTAPI
LdrFindEntryForAddress(
HMODULE hMod,
LDR_DATA_TABLE_ENTRY** ppEntry
);
剩下的问题就很简单了
通过API直接找到kernel32.dll的Entry然后修改Kernel32的Entry的EntryPoint(替换式hook)
然后 轻松ok了~~
代码:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
DisableThreadLibraryCalls
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
支持老V,爆料
|
|
|
|
|
|
Thanks for share.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
