首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[原创]ring3反注入......
发表于: 2013-6-28 07:25 7501

[原创]ring3反注入......

邓韬 活跃值
9
2013-6-28 07:25
7501
hook LoadLibraryExW防止消息注入.
hook ZwCreateThread 防止远程线程,判断执行的地址是否为LoadLibrayExW之类的函数地址
shellcode方式:
    注入可以在LoadLibraryExW里面判断返回地址,shellcode始终要用LoadLibrayExW之类的函数加载的,除非自己实现,这个防不了,然后再扫描内存信息,发现是分配的可执行内存地址来加载模块,直接干掉它就可以了.
PS:输入法注入怎么防止?

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (8)
IDGHOST
雪    币: 115
活跃值: (46)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
2
hook NtAllocateVirtualMemory或NtProtectVirtualMemory防输入法(按理来说,输入法注入应该会有LoadLibraryExW"回调")
貌似我记得网上还有种防输入法的途径,是通过消息的。

以前弄过这东西,后来发现XT有专门检测...
2013-6-28 08:35
0
Artmiss
雪    币: 19
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
其实在ring3反注入只需要处理NtWriteProcessMemory就可以了,比你Hook的那么多函数处理的更全面~
2013-6-28 09:31
0
遗失灵魂
雪    币: 220
活跃值: (117)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
有效率问题吧
2013-6-28 09:52
0
anywhere杨
雪    币: 110
活跃值: (522)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
5
亲,如果用勾子注入那该肿么办呢,
2013-6-28 10:36
0
山村野人
雪    币: 154
活跃值: (91)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
6
为什么你们都忽略了LdrRegisterDllNotification啊。。。这个防loadlibrary和hook都没事了。
2013-6-28 14:02
0
Rookietp
雪    币: 1042
活跃值: (470)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
远程线程试了下ZwCreatThread 没用。
2013-6-28 14:32
0
xmagic
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
mark ,这个问题困扰了很久,这段时间大家都几种爆发了,都在讨论这个问题。。。
2013-6-30 23:20
0
SANCDAYE
雪    币: 218
活跃值: (223)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
有点挫
反注入不是防外挂的关键吧。。。。而且没必要反注入
2013-7-1 23:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//