[讨论]百撕不得骑姐的注入方式[已解决]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]百撕不得骑姐的注入方式[已解决]

2012-12-11 22:29 38120

[讨论]百撕不得骑姐的注入方式[已解决]

iokey

2012-12-11 22:29

38120

查看主题内容

收藏・45

点赞・0

打赏

最新回复 (48) ◀ 1 2
haxk 雪币： 1 活跃值： (321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	haxk 2013-3-1 12:05 26 楼 0 有源码就好了！！！
diybl 雪币： 199 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 99 粉丝 0 关注私信	diybl 2013-3-1 12:08 27 楼 0 createprocess?
cooop 雪币： 43 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	cooop 2013-3-1 12:30 28 楼 0 嘿嘿，我刚好需要这种东西，就让我来撕了她，让然后给你骑。哈哈哈哈哈哈
哟哟哟哟雪币： 107 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 204 粉丝 0 关注私信	哟哟哟哟 2013-3-5 11:23 29 楼 0 求详细思路!~~顶上去我也想实现个
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-3-5 12:04 30 楼 0 经过测试，可以把同一个DLL注入到同一进程N次(呼出N个DLL窗口)，注入后，DLL文件可以删除。说明是内存注入DLL。注入器未调用驱动，是如何把DLL的数据写入到受驱动保护的进程的呢？如果说是R3无驱进R0的话，也只有XP系统下才有效果，但这个注入器拿到2003系统上测试也有效果，实在是想不通了。
TwiAlighT 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	TwiAlighT 2013-3-5 14:34 31 楼 0 有兴趣，等待真相
hjgmii 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hjgmii 2013-3-11 15:19 32 楼 0 很拉风，可惜不知道原理···
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 212 粉丝 0 关注私信	comeon 2013-3-11 15:33 33 楼 0 我是来看标题的。表示百撕不得骑姐
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-3-25 18:18 34 楼 0 经测试32位WIN7下也有效果。。。
Rookietp 雪币： 1042 活跃值： (455) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 803 粉丝 2 关注私信	Rookietp 2013-3-25 19:39 35 楼 0 类似内存中运行之内的吧.
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 484 粉丝 0 关注私信	小P孩儿 2013-3-25 23:23 36 楼 0 答案在这呢。。。
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 158 回帖 411 粉丝 1 关注私信	赵建新 2013-6-5 13:42 37 楼 0 能给新手科普一下原理吗。重写部分Ntdll原因吗？
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 339 粉丝 2 关注私信	kman 2013-6-5 15:58 38 楼 0 看雪的技术水平越来越差了，这种小学生水平的东西居然有人百思不得其解？当然xuetr/gpk的自我保护也是够差劲的。跟什么重写API没任何关系，随便找个HIPS测下就知道了，注入方法是非常原始的DuplicateHandle，扫描所有进程的句柄，看到如果有目标进程的句柄就拿过来用，所以没必要openprocess 对360这种强力的保护就没效果了上传的附件： wwww.png （29.37kb，11次下载）
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-6-8 08:40 39 楼 0 回38楼：你牛啊？言下之意你上小学的时候就会了？你上学的时候WIN2000系统上市没有啊？还是说你现在在上小学？
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 2013-6-8 09:08 40 楼 0 不能称为邪恶，都是技术研究吗
zyicai 雪币： 434 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 2013-6-8 09:08 41 楼 0 进来看看
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 339 粉丝 2 关注私信	kman 2013-6-8 11:50 42 楼 0 1993年winnt就已经发布了，大部分代码（包括duplicetehanle)也是那时候写的，孤陋寡闻真可怕，看雪何时也成这种啥都不懂还特横的小白的聚集地了？我吹牛我能看10秒就知道这你找了一帮人讨论逆向了半天的东西是怎么做得，给你十个月你能做到吗？ddk编译基本都不会你还来喷别人吹牛？自己发帖求解好歹也稍微谦虚点吧我看你到现在都还没搞明白为啥这程序根本不需要打开gpk的进程就可以注入，真可怜
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-6-8 12:13 43 楼 0 第一：1993年至少GPK保护还没问世。第二：中国有句老话叫不耻下问，遇到不懂的问题就问，不丢人。第三：像你这种人，以为就你知道duplicetehanle和DDK编译驱动？笑死人了。你看10秒就只看出来一个duplicetehanle？不懂装懂，下句是什么大家都知道。自己一来就出口伤人，还说别人横？
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-6-8 12:26 44 楼 0 重写api的目的只是绕过R3层HOOK，原理你可以去看看郁金香的过驱动保护教程，里面有讲。
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2014-5-3 01:14 45 楼 0 找这个找了好久... 今天遇到了一个和这个一样的补丁. 正好翻翻看以前写的.
七月栀子雪币： 64 能力值： (RANK：10 ) 在线值：发帖 9 回帖 74 粉丝 0 关注私信	七月栀子 2014-5-19 10:21 46 楼 0 看看学习下
hulucc 雪币： 90 活跃值： (80) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 478 粉丝 0 关注私信	hulucc 2014-5-19 13:41 47 楼 0 你想不明白不会自己逆嘛?这程序是加vmp了还是什么你需要去想?
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 328 粉丝 2 关注私信	zylyy 2014-8-29 22:14 48 楼 0 mark,也许将来用的到呢
小双雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	小双 2014-9-6 17:43 49 楼 0 我不好说你你真是个小学生：怪不得看学大牛都不喜欢问问题，他说错了吗，你是不是IDA都没有仔细分析就在这里乱叫？再则什么叫“不耻下问”，问人就该谦虚一点。一点心理承受能力都没有还好意思来问问题
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

iokey

发帖

回帖

RANK

关注

私信

他的文章

[原创]易语言静态编译的DLL注入到其他语言写的EXE中后的完美卸载

[求助]WIN7下复制句柄失败？

[求助]新手问题：'PsGetProcessId' undefined

[讨论]百撕不得骑姐的注入方式[已解决]

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) ◀ 1 2
haxk 雪币： 1 活跃值： (321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	haxk 2013-3-1 12:05 26 楼 0 有源码就好了！！！
diybl 雪币： 199 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 99 粉丝 0 关注私信	diybl 2013-3-1 12:08 27 楼 0 createprocess?
cooop 雪币： 43 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	cooop 2013-3-1 12:30 28 楼 0 嘿嘿，我刚好需要这种东西，就让我来撕了她，让然后给你骑。哈哈哈哈哈哈
哟哟哟哟雪币： 107 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 204 粉丝 0 关注私信	哟哟哟哟 2013-3-5 11:23 29 楼 0 求详细思路!~~顶上去我也想实现个
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-3-5 12:04 30 楼 0 经过测试，可以把同一个DLL注入到同一进程N次(呼出N个DLL窗口)，注入后，DLL文件可以删除。说明是内存注入DLL。注入器未调用驱动，是如何把DLL的数据写入到受驱动保护的进程的呢？如果说是R3无驱进R0的话，也只有XP系统下才有效果，但这个注入器拿到2003系统上测试也有效果，实在是想不通了。
TwiAlighT 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	TwiAlighT 2013-3-5 14:34 31 楼 0 有兴趣，等待真相
hjgmii 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hjgmii 2013-3-11 15:19 32 楼 0 很拉风，可惜不知道原理···
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 212 粉丝 0 关注私信	comeon 2013-3-11 15:33 33 楼 0 我是来看标题的。表示百撕不得骑姐
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-3-25 18:18 34 楼 0 经测试32位WIN7下也有效果。。。
Rookietp 雪币： 1042 活跃值： (455) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 803 粉丝 2 关注私信	Rookietp 2013-3-25 19:39 35 楼 0 类似内存中运行之内的吧.
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 484 粉丝 0 关注私信	小P孩儿 2013-3-25 23:23 36 楼 0 答案在这呢。。。
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 158 回帖 411 粉丝 1 关注私信	赵建新 2013-6-5 13:42 37 楼 0 能给新手科普一下原理吗。重写部分Ntdll原因吗？
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 339 粉丝 2 关注私信	kman 2013-6-5 15:58 38 楼 0 看雪的技术水平越来越差了，这种小学生水平的东西居然有人百思不得其解？当然xuetr/gpk的自我保护也是够差劲的。跟什么重写API没任何关系，随便找个HIPS测下就知道了，注入方法是非常原始的DuplicateHandle，扫描所有进程的句柄，看到如果有目标进程的句柄就拿过来用，所以没必要openprocess 对360这种强力的保护就没效果了上传的附件： wwww.png （29.37kb，11次下载）
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-6-8 08:40 39 楼 0 回38楼：你牛啊？言下之意你上小学的时候就会了？你上学的时候WIN2000系统上市没有啊？还是说你现在在上小学？
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 2013-6-8 09:08 40 楼 0 不能称为邪恶，都是技术研究吗
zyicai 雪币： 434 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 2013-6-8 09:08 41 楼 0 进来看看
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 339 粉丝 2 关注私信	kman 2013-6-8 11:50 42 楼 0 1993年winnt就已经发布了，大部分代码（包括duplicetehanle)也是那时候写的，孤陋寡闻真可怕，看雪何时也成这种啥都不懂还特横的小白的聚集地了？我吹牛我能看10秒就知道这你找了一帮人讨论逆向了半天的东西是怎么做得，给你十个月你能做到吗？ddk编译基本都不会你还来喷别人吹牛？自己发帖求解好歹也稍微谦虚点吧我看你到现在都还没搞明白为啥这程序根本不需要打开gpk的进程就可以注入，真可怜
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-6-8 12:13 43 楼 0 第一：1993年至少GPK保护还没问世。第二：中国有句老话叫不耻下问，遇到不懂的问题就问，不丢人。第三：像你这种人，以为就你知道duplicetehanle和DDK编译驱动？笑死人了。你看10秒就只看出来一个duplicetehanle？不懂装懂，下句是什么大家都知道。自己一来就出口伤人，还说别人横？
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 2013-6-8 12:26 44 楼 0 重写api的目的只是绕过R3层HOOK，原理你可以去看看郁金香的过驱动保护教程，里面有讲。
半斤八兩雪币： 221 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 65 回帖 615 粉丝 21 关注私信	半斤八兩 10 2014-5-3 01:14 45 楼 0 找这个找了好久... 今天遇到了一个和这个一样的补丁. 正好翻翻看以前写的.
七月栀子雪币： 64 能力值： (RANK：10 ) 在线值：发帖 9 回帖 74 粉丝 0 关注私信	七月栀子 2014-5-19 10:21 46 楼 0 看看学习下
hulucc 雪币： 90 活跃值： (80) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 478 粉丝 0 关注私信	hulucc 2014-5-19 13:41 47 楼 0 你想不明白不会自己逆嘛?这程序是加vmp了还是什么你需要去想?
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 328 粉丝 2 关注私信	zylyy 2014-8-29 22:14 48 楼 0 mark,也许将来用的到呢
小双雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	小双 2014-9-6 17:43 49 楼 0 我不好说你你真是个小学生：怪不得看学大牛都不喜欢问问题，他说错了吗，你是不是IDA都没有仔细分析就在这里乱叫？再则什么叫“不耻下问”，问人就该谦虚一点。一点心理承受能力都没有还好意思来问问题
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复