首页
社区
课程
招聘
[原创]ring3反注入......
发表于: 2013-6-28 07:25 7619

[原创]ring3反注入......

2013-6-28 07:25
7619
hook LoadLibraryExW防止消息注入.
hook ZwCreateThread 防止远程线程,判断执行的地址是否为LoadLibrayExW之类的函数地址
shellcode方式:
    注入可以在LoadLibraryExW里面判断返回地址,shellcode始终要用LoadLibrayExW之类的函数加载的,除非自己实现,这个防不了,然后再扫描内存信息,发现是分配的可执行内存地址来加载模块,直接干掉它就可以了.
PS:输入法注入怎么防止?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 115
活跃值: (46)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
2
hook NtAllocateVirtualMemory或NtProtectVirtualMemory防输入法(按理来说,输入法注入应该会有LoadLibraryExW"回调")
貌似我记得网上还有种防输入法的途径,是通过消息的。

以前弄过这东西,后来发现XT有专门检测...
2013-6-28 08:35
0
雪    币: 19
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
其实在ring3反注入只需要处理NtWriteProcessMemory就可以了,比你Hook的那么多函数处理的更全面~
2013-6-28 09:31
0
雪    币: 220
活跃值: (117)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
有效率问题吧
2013-6-28 09:52
0
雪    币: 110
活跃值: (527)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
5
亲,如果用勾子注入那该肿么办呢,
2013-6-28 10:36
0
雪    币: 154
活跃值: (91)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
6
为什么你们都忽略了LdrRegisterDllNotification啊。。。这个防loadlibrary和hook都没事了。
2013-6-28 14:02
0
雪    币: 1042
活跃值: (500)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
远程线程试了下ZwCreatThread 没用。
2013-6-28 14:32
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
mark ,这个问题困扰了很久,这段时间大家都几种爆发了,都在讨论这个问题。。。
2013-6-30 23:20
0
雪    币: 148
活跃值: (278)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
有点挫
反注入不是防外挂的关键吧。。。。而且没必要反注入
2013-7-1 23:13
0
游客
登录 | 注册 方可回帖
返回
//