[求助]如何"指使" explorer.exe 打开一个文件？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
冬阳春雪雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	冬阳春雪 2 楼 shellexec 2013-4-15 01:57 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 3 楼 ShellExeCuteA 2013-4-15 09:10 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 4 楼 ShellExeCute 好像不行，如果 Test.exe 使用 ShellExeCute 打开 calc.exe， calc.exe 执行起来后，它的'调用者' 父进程仍然是 Test.exe，而不是 explorer.exe；我的意思是通过一种手段，让 explorer.exe 自己'亲自'去启动这个程序；例如，向 explorer.exe 的某个窗口或某个线程发送一个或一系列消息 .... 2013-4-15 15:48 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 24 关注私信	fosom 8 5 楼最直接的方法，写一个Hook把进程枚举CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); 的进程的父进程PID直接修改了。全部改成 explorer.exe，随便用什么打开都是 explorer.exe 2013-4-15 18:05 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 6 楼远程call……你懂得（兼容性不好）或者是傀儡进程也行 2013-4-15 18:10 0
冬阳春雪雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	冬阳春雪 7 楼这么弱爆的检测方法如果不是有什么特别的目的,比如避开杀软检测之类的话,把你程序名改为explorer.exe也行,还有若干方法.... 2013-4-15 18:13 0
RedTears 雪币： 297 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	RedTears 8 楼楼主试试这个方法。上传的附件： 2013-04-17_14-03-26.png （16.79kb，11次下载） 2013-4-17 14:04 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 9 楼。。。vista以上？ 2013-4-17 14:42 0
ximenwuzhu 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ximenwuzhu 10 楼 360会拦截 2013-4-17 16:09 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 11 楼还“指使”，想做木马还绕着弯子说，自己搞不定了吧 2013-4-18 11:12 0
RedTears 雪币： 297 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	RedTears 12 楼额，win7，其它没试过。。。 2013-4-20 08:04 0
bird 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 231 粉丝 0 关注私信	bird 13 楼鼠标右键打开~~~ 2013-4-20 10:13 0
山村野人雪币： 154 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 15 回帖 114 粉丝 1 关注私信	山村野人 1 14 楼考虑下利用uac那个机制 2013-4-23 14:57 0
jeffli 雪币： 233 活跃值： (10) 能力值： ( LV4，RANK：40 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	jeffli 15 楼没有拦截吧，我成功打开了 2013-8-26 17:19 0
shuxuliang 雪币： 53 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 102 粉丝 2 关注私信	shuxuliang 16 楼能进RING0的话就狂插APC吧。当然， explorer这个东南枝上被杀毒猥琐的挂了各种钩子，自己搞定吧。 2013-8-27 09:45 0
tigerwood 雪币： 1906 活跃值： (712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 177 粉丝 0 关注私信	tigerwood 17 楼有很多方法吧，二楼的可以，呵呵 2013-8-27 10:16 0
sunnysab 雪币： 80 活跃值： (109) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 696 粉丝 0 关注私信	sunnysab 18 楼 explorer.exe有命令行参数啊 http://baike.so.com/doc/28761.html 2013-8-27 10:18 0
flukeshen 雪币： 82 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	flukeshen 19 楼兄弟说得好，看他的用语就知道不是干好事。 2013-8-28 16:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (18)
冬阳春雪雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	冬阳春雪 2 楼 shellexec 2013-4-15 01:57 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 3 楼 ShellExeCuteA 2013-4-15 09:10 0
瀑泪雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 122 粉丝 0 关注私信	瀑泪 4 楼 ShellExeCute 好像不行，如果 Test.exe 使用 ShellExeCute 打开 calc.exe， calc.exe 执行起来后，它的'调用者' 父进程仍然是 Test.exe，而不是 explorer.exe；我的意思是通过一种手段，让 explorer.exe 自己'亲自'去启动这个程序；例如，向 explorer.exe 的某个窗口或某个线程发送一个或一系列消息 .... 2013-4-15 15:48 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 24 关注私信	fosom 8 5 楼最直接的方法，写一个Hook把进程枚举CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); 的进程的父进程PID直接修改了。全部改成 explorer.exe，随便用什么打开都是 explorer.exe 2013-4-15 18:05 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 6 楼远程call……你懂得（兼容性不好）或者是傀儡进程也行 2013-4-15 18:10 0
冬阳春雪雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	冬阳春雪 7 楼这么弱爆的检测方法如果不是有什么特别的目的,比如避开杀软检测之类的话,把你程序名改为explorer.exe也行,还有若干方法.... 2013-4-15 18:13 0
RedTears 雪币： 297 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	RedTears 8 楼楼主试试这个方法。上传的附件： 2013-04-17_14-03-26.png （16.79kb，11次下载） 2013-4-17 14:04 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 9 楼。。。vista以上？ 2013-4-17 14:42 0
ximenwuzhu 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ximenwuzhu 10 楼 360会拦截 2013-4-17 16:09 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 11 楼还“指使”，想做木马还绕着弯子说，自己搞不定了吧 2013-4-18 11:12 0
RedTears 雪币： 297 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	RedTears 12 楼额，win7，其它没试过。。。 2013-4-20 08:04 0
bird 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 231 粉丝 0 关注私信	bird 13 楼鼠标右键打开~~~ 2013-4-20 10:13 0
山村野人雪币： 154 活跃值： (91) 能力值： ( LV6，RANK：80 ) 在线值：发帖 15 回帖 114 粉丝 1 关注私信	山村野人 1 14 楼考虑下利用uac那个机制 2013-4-23 14:57 0
jeffli 雪币： 233 活跃值： (10) 能力值： ( LV4，RANK：40 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	jeffli 15 楼没有拦截吧，我成功打开了 2013-8-26 17:19 0
shuxuliang 雪币： 53 活跃值： (734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 102 粉丝 2 关注私信	shuxuliang 16 楼能进RING0的话就狂插APC吧。当然， explorer这个东南枝上被杀毒猥琐的挂了各种钩子，自己搞定吧。 2013-8-27 09:45 0
tigerwood 雪币： 1906 活跃值： (712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 177 粉丝 0 关注私信	tigerwood 17 楼有很多方法吧，二楼的可以，呵呵 2013-8-27 10:16 0
sunnysab 雪币： 80 活跃值： (109) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 696 粉丝 0 关注私信	sunnysab 18 楼 explorer.exe有命令行参数啊 http://baike.so.com/doc/28761.html 2013-8-27 10:18 0
flukeshen 雪币： 82 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	flukeshen 19 楼兄弟说得好，看他的用语就知道不是干好事。 2013-8-28 16:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复