首页
社区
课程
招聘
[讨论] 关于dll加载后监视和拦截的一点想法
发表于: 2013-10-10 19:19 8527

[讨论] 关于dll加载后监视和拦截的一点想法

2013-10-10 19:19
8527
之前看了大牛Tesla.Angela 文章“[原创开源]在WIN64上无HOOK实现监控驱动加载 ”后,突然有感而发
文章中只能实现对sys文件的监视和拦截,我就琢磨着能不能也监视和拦截DLL呢,思路如下:
同样使用 PsSetLoadImageNotifyRoutine  监视dll的加载,只是在拦截的时候,不用Tesla.Angela说的去找入口点并返回
而是使用ZwUnmapViewOfSection将将dll卸载掉,
原型:
NTSTATUS ZwUnmapViewOfSection(
  _In_      HANDLE ProcessHandle,
  _In_opt_  PVOID BaseAddress
);

第一个参数可以通过 回调中的 进程ID号 ProcessId 获取,
第二个参数更是手到擒来,直接用IMAGE_INFO 中的ImageBase成员
以上仅仅是思路,希望大家指点,

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
2
会有一个惨烈的错误框~~
2013-10-11 01:14
0
雪    币: 186
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我的结果是,进程加载起来了,但是不能正常运行,好像死掉了,没有任何界面,
不知道有其他方法否?
2013-10-14 20:12
0
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
ZwUnmapViewOfSection将将dll卸载掉的话,如果好的情况会有个错误框框弹出来~如果要是玩不好就蓝了~
Patch为无害物质多和谐~
2013-10-14 20:28
0
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
5
将dll进行xxoo,多和谐啊~
2013-10-14 20:44
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
再把错误框patch掉
2013-10-14 20:59
0
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
7
多此一举....直接PATCH 模块某位置就直接OK了....兼容全系统.具体怎么操作cvcvxk知道!
2013-10-15 08:46
0
游客
登录 | 注册 方可回帖
返回
//