[讨论]百撕不得骑姐的注入方式[已解决]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]百撕不得骑姐的注入方式[已解决]

发表于: 2012-12-11 22:29 38905

[讨论]百撕不得骑姐的注入方式[已解决]

iokey

2012-12-11 22:29

38905

查看主题内容

收藏・45

免费・0

支持

最新回复 (48) ◀ 1 2
haxk 雪币： 1 活跃值： (361) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	haxk 26 楼有源码就好了！！！ 2013-3-1 12:05 0
diybl 雪币： 199 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 98 粉丝 0 关注私信	diybl 27 楼 createprocess? 2013-3-1 12:08 0
cooop 雪币： 43 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	cooop 28 楼嘿嘿，我刚好需要这种东西，就让我来撕了她，让然后给你骑。哈哈哈哈哈哈 2013-3-1 12:30 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 29 楼求详细思路!~~顶上去我也想实现个 2013-3-5 11:23 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 30 楼经过测试，可以把同一个DLL注入到同一进程N次(呼出N个DLL窗口)，注入后，DLL文件可以删除。说明是内存注入DLL。注入器未调用驱动，是如何把DLL的数据写入到受驱动保护的进程的呢？如果说是R3无驱进R0的话，也只有XP系统下才有效果，但这个注入器拿到2003系统上测试也有效果，实在是想不通了。 2013-3-5 12:04 0
TwiAlighT 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	TwiAlighT 31 楼有兴趣，等待真相 2013-3-5 14:34 0
hjgmii 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hjgmii 32 楼很拉风，可惜不知道原理··· 2013-3-11 15:19 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 33 楼我是来看标题的。表示百撕不得骑姐 2013-3-11 15:33 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 34 楼经测试32位WIN7下也有效果。。。 2013-3-25 18:18 0
Rookietp 雪币： 1042 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 35 楼类似内存中运行之内的吧. 2013-3-25 19:39 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 36 楼答案在这呢。。。 2013-3-25 23:23 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 37 楼能给新手科普一下原理吗。重写部分Ntdll原因吗？ 2013-6-5 13:42 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 38 楼看雪的技术水平越来越差了，这种小学生水平的东西居然有人百思不得其解？当然xuetr/gpk的自我保护也是够差劲的。跟什么重写API没任何关系，随便找个HIPS测下就知道了，注入方法是非常原始的DuplicateHandle，扫描所有进程的句柄，看到如果有目标进程的句柄就拿过来用，所以没必要openprocess 对360这种强力的保护就没效果了上传的附件： wwww.png （29.37kb，11次下载） 2013-6-5 15:58 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 39 楼回38楼：你牛啊？言下之意你上小学的时候就会了？你上学的时候WIN2000系统上市没有啊？还是说你现在在上小学？ 2013-6-8 08:40 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 40 楼不能称为邪恶，都是技术研究吗 2013-6-8 09:08 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 41 楼进来看看 2013-6-8 09:08 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 42 楼 1993年winnt就已经发布了，大部分代码（包括duplicetehanle)也是那时候写的，孤陋寡闻真可怕，看雪何时也成这种啥都不懂还特横的小白的聚集地了？我吹牛我能看10秒就知道这你找了一帮人讨论逆向了半天的东西是怎么做得，给你十个月你能做到吗？ddk编译基本都不会你还来喷别人吹牛？自己发帖求解好歹也稍微谦虚点吧我看你到现在都还没搞明白为啥这程序根本不需要打开gpk的进程就可以注入，真可怜 2013-6-8 11:50 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 43 楼第一：1993年至少GPK保护还没问世。第二：中国有句老话叫不耻下问，遇到不懂的问题就问，不丢人。第三：像你这种人，以为就你知道duplicetehanle和DDK编译驱动？笑死人了。你看10秒就只看出来一个duplicetehanle？不懂装懂，下句是什么大家都知道。自己一来就出口伤人，还说别人横？ 2013-6-8 12:13 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 44 楼重写api的目的只是绕过R3层HOOK，原理你可以去看看郁金香的过驱动保护教程，里面有讲。 2013-6-8 12:26 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 45 楼找这个找了好久... 今天遇到了一个和这个一样的补丁. 正好翻翻看以前写的. 2014-5-3 01:14 0
七月栀子雪币： 64 能力值： (RANK：10 ) 在线值：发帖 9 回帖 70 粉丝 0 关注私信	七月栀子 46 楼看看学习下 2014-5-19 10:21 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 47 楼你想不明白不会自己逆嘛?这程序是加vmp了还是什么你需要去想? 2014-5-19 13:41 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 48 楼 mark,也许将来用的到呢 2014-8-29 22:14 0
小双雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	小双 49 楼我不好说你你真是个小学生：怪不得看学大牛都不喜欢问问题，他说错了吗，你是不是IDA都没有仔细分析就在这里乱叫？再则什么叫“不耻下问”，问人就该谦虚一点。一点心理承受能力都没有还好意思来问问题 2014-9-6 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

iokey

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) ◀ 1 2
haxk 雪币： 1 活跃值： (361) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 30 粉丝 0 关注私信	haxk 26 楼有源码就好了！！！ 2013-3-1 12:05 0
diybl 雪币： 199 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 98 粉丝 0 关注私信	diybl 27 楼 createprocess? 2013-3-1 12:08 0
cooop 雪币： 43 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	cooop 28 楼嘿嘿，我刚好需要这种东西，就让我来撕了她，让然后给你骑。哈哈哈哈哈哈 2013-3-1 12:30 0
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 29 楼求详细思路!~~顶上去我也想实现个 2013-3-5 11:23 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 30 楼经过测试，可以把同一个DLL注入到同一进程N次(呼出N个DLL窗口)，注入后，DLL文件可以删除。说明是内存注入DLL。注入器未调用驱动，是如何把DLL的数据写入到受驱动保护的进程的呢？如果说是R3无驱进R0的话，也只有XP系统下才有效果，但这个注入器拿到2003系统上测试也有效果，实在是想不通了。 2013-3-5 12:04 0
TwiAlighT 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	TwiAlighT 31 楼有兴趣，等待真相 2013-3-5 14:34 0
hjgmii 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hjgmii 32 楼很拉风，可惜不知道原理··· 2013-3-11 15:19 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 33 楼我是来看标题的。表示百撕不得骑姐 2013-3-11 15:33 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 34 楼经测试32位WIN7下也有效果。。。 2013-3-25 18:18 0
Rookietp 雪币： 1042 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 35 楼类似内存中运行之内的吧. 2013-3-25 19:39 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 36 楼答案在这呢。。。 2013-3-25 23:23 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 37 楼能给新手科普一下原理吗。重写部分Ntdll原因吗？ 2013-6-5 13:42 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 38 楼看雪的技术水平越来越差了，这种小学生水平的东西居然有人百思不得其解？当然xuetr/gpk的自我保护也是够差劲的。跟什么重写API没任何关系，随便找个HIPS测下就知道了，注入方法是非常原始的DuplicateHandle，扫描所有进程的句柄，看到如果有目标进程的句柄就拿过来用，所以没必要openprocess 对360这种强力的保护就没效果了上传的附件： wwww.png （29.37kb，11次下载） 2013-6-5 15:58 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 39 楼回38楼：你牛啊？言下之意你上小学的时候就会了？你上学的时候WIN2000系统上市没有啊？还是说你现在在上小学？ 2013-6-8 08:40 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 40 楼不能称为邪恶，都是技术研究吗 2013-6-8 09:08 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 41 楼进来看看 2013-6-8 09:08 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 42 楼 1993年winnt就已经发布了，大部分代码（包括duplicetehanle)也是那时候写的，孤陋寡闻真可怕，看雪何时也成这种啥都不懂还特横的小白的聚集地了？我吹牛我能看10秒就知道这你找了一帮人讨论逆向了半天的东西是怎么做得，给你十个月你能做到吗？ddk编译基本都不会你还来喷别人吹牛？自己发帖求解好歹也稍微谦虚点吧我看你到现在都还没搞明白为啥这程序根本不需要打开gpk的进程就可以注入，真可怜 2013-6-8 11:50 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 43 楼第一：1993年至少GPK保护还没问世。第二：中国有句老话叫不耻下问，遇到不懂的问题就问，不丢人。第三：像你这种人，以为就你知道duplicetehanle和DDK编译驱动？笑死人了。你看10秒就只看出来一个duplicetehanle？不懂装懂，下句是什么大家都知道。自己一来就出口伤人，还说别人横？ 2013-6-8 12:13 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 44 楼重写api的目的只是绕过R3层HOOK，原理你可以去看看郁金香的过驱动保护教程，里面有讲。 2013-6-8 12:26 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 45 楼找这个找了好久... 今天遇到了一个和这个一样的补丁. 正好翻翻看以前写的. 2014-5-3 01:14 0
七月栀子雪币： 64 能力值： (RANK：10 ) 在线值：发帖 9 回帖 70 粉丝 0 关注私信	七月栀子 46 楼看看学习下 2014-5-19 10:21 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 47 楼你想不明白不会自己逆嘛?这程序是加vmp了还是什么你需要去想? 2014-5-19 13:41 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 48 楼 mark,也许将来用的到呢 2014-8-29 22:14 0
小双雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	小双 49 楼我不好说你你真是个小学生：怪不得看学大牛都不喜欢问问题，他说错了吗，你是不是IDA都没有仔细分析就在这里乱叫？再则什么叫“不耻下问”，问人就该谦虚一点。一点心理承受能力都没有还好意思来问问题 2014-9-6 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复