重写API了，ring3下就可以注入到ring0什么原理啊。-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

最新回复 (12)
HOWMP 雪币： 4296 活跃值： (4345) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 2 楼同求，即使重写了，应该也被拦截吧。 2013-6-5 15:40 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 3 楼看雪的技术水平越来越差了，这种小学生水平的东西居然有人百思不得其解？当然xuetr/gpk的自我保护也是够差劲的。跟什么重写API没任何关系，随便找个HIPS测下就知道了，注入方法是非常原始的DuplicateHandle，扫描所有进程的句柄，看到如果有目标进程的句柄就拿过来用，所以没必要openprocess，二十年前的方法了。 2013-6-5 15:59 0
HOWMP 雪币： 4296 活跃值： (4345) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 4 楼 2013-6-5 16:18 0
艾米哈柏雪币： 138 活跃值： (675) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 108 粉丝 0 关注私信	艾米哈柏 5 楼支持个。。 2013-6-6 13:02 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 6 楼牛人啊！！！今年：2013 二十年前＝2013－20＝1993 1993年 WIN98 WIN2000都还没上市，这牛人就会了啊？真是个牛人啊。看雪会吹牛的牛人啊。 2013-6-8 08:38 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 7 楼 1993年winnt就已经发布了，大部分代码（包括duplicetehanle)也是那时候写的，孤陋寡闻真可怕，看雪何时也成这种啥都不懂还特横的小白的聚集地了？我吹牛我能看10秒就知道这你找了一帮人讨论逆向了半天的东西是怎么做得，给你十个月你能做到吗？ddk编译基本都不会你还来喷别人吹牛？自己发帖求解好歹也稍微谦虚点吧 2013-6-8 11:37 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 8 楼第一：1993年至少GPK保护还没问世。第二：中国有句老话叫不耻下问，遇到不懂的问题就问，不丢人。第三：像你这种人，以为就你知道duplicetehanle和DDK编译驱动？笑死人了。你看10秒就只看出来一个duplicetehanle？不懂装懂，下句是什么大家都知道。自己一来就出口伤人，还说别人横。 2013-6-8 12:14 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 9 楼 whosyourdady greatisgood 哈哈两位雌雄莫辨谁是真正的假面人我等羞菜拭目以待 2013-6-8 12:26 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 10 楼现在的看雪是个层层调用的深水区看似肤浅的是R3层深藏不露的是R0层很多技术精湛的人都自愿在R0层除了院长我们这些羞菜本能的在R3层求学很少有人指点迷津即使有也是要赞助的都怨我们学习方向不对学习算法不合理 2013-6-8 12:31 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 11 楼重写API只是绕过R3层HOOK，不让别人分析他调用了哪些API。注入原理是注入内存中的DLL 和修改线程EIP上下文注入DLL 相结合。那个贴子里的注入器用到的相关API已经被 23楼的半斤八两全部分析出来了。 2013-6-8 12:54 0
dayang 雪币： 220 活跃值： (951) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 943 粉丝 1 关注私信	dayang 12 楼谁能上套测试代码呢？？ 2013-6-8 14:51 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 1 关注私信	遗失灵魂 13 楼 ..至于扣字么.. 表示我没去原帖看 .看这位老师说的.也大概明白了又是可信绕过吧. 可信的可以open 那么就注入到里面.然后取得已经open后的句柄? 我去原帖看看 2013-6-9 12:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
HOWMP 雪币： 4296 活跃值： (4345) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 2 楼同求，即使重写了，应该也被拦截吧。 2013-6-5 15:40 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 3 楼看雪的技术水平越来越差了，这种小学生水平的东西居然有人百思不得其解？当然xuetr/gpk的自我保护也是够差劲的。跟什么重写API没任何关系，随便找个HIPS测下就知道了，注入方法是非常原始的DuplicateHandle，扫描所有进程的句柄，看到如果有目标进程的句柄就拿过来用，所以没必要openprocess，二十年前的方法了。 2013-6-5 15:59 0
HOWMP 雪币： 4296 活跃值： (4345) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 4 楼 2013-6-5 16:18 0
艾米哈柏雪币： 138 活跃值： (675) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 108 粉丝 0 关注私信	艾米哈柏 5 楼支持个。。 2013-6-6 13:02 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 6 楼牛人啊！！！今年：2013 二十年前＝2013－20＝1993 1993年 WIN98 WIN2000都还没上市，这牛人就会了啊？真是个牛人啊。看雪会吹牛的牛人啊。 2013-6-8 08:38 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 7 楼 1993年winnt就已经发布了，大部分代码（包括duplicetehanle)也是那时候写的，孤陋寡闻真可怕，看雪何时也成这种啥都不懂还特横的小白的聚集地了？我吹牛我能看10秒就知道这你找了一帮人讨论逆向了半天的东西是怎么做得，给你十个月你能做到吗？ddk编译基本都不会你还来喷别人吹牛？自己发帖求解好歹也稍微谦虚点吧 2013-6-8 11:37 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 8 楼第一：1993年至少GPK保护还没问世。第二：中国有句老话叫不耻下问，遇到不懂的问题就问，不丢人。第三：像你这种人，以为就你知道duplicetehanle和DDK编译驱动？笑死人了。你看10秒就只看出来一个duplicetehanle？不懂装懂，下句是什么大家都知道。自己一来就出口伤人，还说别人横。 2013-6-8 12:14 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 9 楼 whosyourdady greatisgood 哈哈两位雌雄莫辨谁是真正的假面人我等羞菜拭目以待 2013-6-8 12:26 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 10 楼现在的看雪是个层层调用的深水区看似肤浅的是R3层深藏不露的是R0层很多技术精湛的人都自愿在R0层除了院长我们这些羞菜本能的在R3层求学很少有人指点迷津即使有也是要赞助的都怨我们学习方向不对学习算法不合理 2013-6-8 12:31 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 11 楼重写API只是绕过R3层HOOK，不让别人分析他调用了哪些API。注入原理是注入内存中的DLL 和修改线程EIP上下文注入DLL 相结合。那个贴子里的注入器用到的相关API已经被 23楼的半斤八两全部分析出来了。 2013-6-8 12:54 0
dayang 雪币： 220 活跃值： (951) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 943 粉丝 1 关注私信	dayang 12 楼谁能上套测试代码呢？？ 2013-6-8 14:51 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 1 关注私信	遗失灵魂 13 楼 ..至于扣字么.. 表示我没去原帖看 .看这位老师说的.也大概明白了又是可信绕过吧. 可信的可以open 那么就注入到里面.然后取得已经open后的句柄? 我去原帖看看 2013-6-9 12:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复