[求助]百思不得其解的DLL注入方式！！！-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼魔兽会扫描自己目录下的相关文件，然后加载 2013-6-27 16:29 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 3 楼类似于劫持？ 2013-6-27 16:53 0
hellotong 雪币： 258 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 15 回帖 72 粉丝 3 关注私信	hellotong 1 4 楼也可能注入别的进程了，比如services.exe，在白名单里程序注入不会被拦截 2013-6-27 16:57 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 5 楼你感觉错了...你要从头到尾跟一次 2013-6-27 17:28 0
tigerling 雪币： 5 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	tigerling 6 楼可能是SPI``改注册表. 2013-6-27 17:30 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 7 楼冇用嘅... 2013-6-27 17:30 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 8 楼楼上是什么字体 .. 2013-6-27 17:48 0
woquqingda 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	woquqingda 9 楼有点高端 2013-6-27 17:55 0
woquqingda 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	woquqingda 10 楼有点高端兽会扫描自己目录下的相关文件，然后加载 2013-6-27 17:56 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 11 楼难道是传说中的‘白加黑’？ 2013-6-27 18:20 0
jksjian 雪币： 53 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 80 粉丝 0 关注私信	jksjian 12 楼最简单的开个HIPS设置全规则再开程序然后运行游戏,一步步看规则不就知道了?...然后用xuetr辅助查看,,,..一般用的是挟持了.. 2013-6-27 20:20 0
badboyck 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	badboyck 13 楼如果你确信此外挂真的只释放了1个文件，那么应该是wow对指定文件夹的扫描自动加载。否则，就是system32,windows目录下系统dll的劫持，或者spi,或者xxxx 2013-6-27 23:58 0
mubiaope 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	mubiaope 14 楼排除远程线程注入了吗？ 2013-6-28 00:04 0
wuzhiwen 雪币： 281 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 15 楼应该没有远程注入吧，因为以后开外挂，只需启动魔兽就行，完全不用运行外挂了，所以这个外挂的启动方式很奇怪！ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000001\[] 发现那外挂写这个注册表，当魔兽建立网络连接时，就启动外挂了，到底是什么原理？ 2013-7-2 11:48 0
IamHuskar 雪币： 1392 活跃值： (5212) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 69 关注私信	IamHuskar 4 16 楼 LSP注入 2013-7-4 14:53 0
wuzhiwen 雪币： 281 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 17 楼万分感谢！！！原来还有这种方式的！！ 2013-7-5 11:31 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 18 楼 LSP无疑~~ 2013-7-5 12:51 0
zhidd 雪币： 72 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 109 粉丝 1 关注私信	zhidd 19 楼什么是SPI 2013-7-5 13:31 0
xmagic 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	xmagic 20 楼话说需要用到网络层的东西都要加载这个LSP的dll，这样就相当于劫持了。。 2013-7-9 19:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 2 楼魔兽会扫描自己目录下的相关文件，然后加载 2013-6-27 16:29 0
小林先生雪币： 137 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 273 粉丝 0 关注私信	小林先生 3 楼类似于劫持？ 2013-6-27 16:53 0
hellotong 雪币： 258 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 15 回帖 72 粉丝 3 关注私信	hellotong 1 4 楼也可能注入别的进程了，比如services.exe，在白名单里程序注入不会被拦截 2013-6-27 16:57 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 5 楼你感觉错了...你要从头到尾跟一次 2013-6-27 17:28 0
tigerling 雪币： 5 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	tigerling 6 楼可能是SPI``改注册表. 2013-6-27 17:30 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 7 楼冇用嘅... 2013-6-27 17:30 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 8 楼楼上是什么字体 .. 2013-6-27 17:48 0
woquqingda 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	woquqingda 9 楼有点高端 2013-6-27 17:55 0
woquqingda 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 28 粉丝 0 关注私信	woquqingda 10 楼有点高端兽会扫描自己目录下的相关文件，然后加载 2013-6-27 17:56 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 11 楼难道是传说中的‘白加黑’？ 2013-6-27 18:20 0
jksjian 雪币： 53 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 80 粉丝 0 关注私信	jksjian 12 楼最简单的开个HIPS设置全规则再开程序然后运行游戏,一步步看规则不就知道了?...然后用xuetr辅助查看,,,..一般用的是挟持了.. 2013-6-27 20:20 0
badboyck 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	badboyck 13 楼如果你确信此外挂真的只释放了1个文件，那么应该是wow对指定文件夹的扫描自动加载。否则，就是system32,windows目录下系统dll的劫持，或者spi,或者xxxx 2013-6-27 23:58 0
mubiaope 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	mubiaope 14 楼排除远程线程注入了吗？ 2013-6-28 00:04 0
wuzhiwen 雪币： 281 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 15 楼应该没有远程注入吧，因为以后开外挂，只需启动魔兽就行，完全不用运行外挂了，所以这个外挂的启动方式很奇怪！ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9\CATALOG_ENTRIES\000000000001\[] 发现那外挂写这个注册表，当魔兽建立网络连接时，就启动外挂了，到底是什么原理？ 2013-7-2 11:48 0
IamHuskar 雪币： 1392 活跃值： (5212) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 69 关注私信	IamHuskar 4 16 楼 LSP注入 2013-7-4 14:53 0
wuzhiwen 雪币： 281 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 17 楼万分感谢！！！原来还有这种方式的！！ 2013-7-5 11:31 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 18 楼 LSP无疑~~ 2013-7-5 12:51 0
zhidd 雪币： 72 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 109 粉丝 1 关注私信	zhidd 19 楼什么是SPI 2013-7-5 13:31 0
xmagic 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	xmagic 20 楼话说需要用到网络层的东西都要加载这个LSP的dll，这样就相当于劫持了。。 2013-7-9 19:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复