能力值:
( LV5,RANK:70 )
|
-
-
26 楼
“删除自身”本身就是个很简单的功能,我这里只是用简洁的代码来实现,有什么表里不一吗?
莫非你用汇编写一个又长又臭的proc就比我这个函数有价值??
|
能力值:
( LV5,RANK:70 )
|
-
-
27 楼
我只能说,dll注入不一定需要CreateRemoteThread,一定不需要VirtualAllocEx
|
能力值:
( LV5,RANK:70 )
|
-
-
28 楼
另外“不知谁知道有什么技巧在xxx.exe执行后删除硬盘上的xxx.exe文件而进程xxx.exe还活着。”
其实这个功能也没有什么意义,如果你的目标不是写一个病毒的话。
|
能力值:
( LV13,RANK:520 )
|
-
-
29 楼
把相关句柄关掉就可以直接del了.
但是这样做的话,有的程序I/O相关的句柄也关了,有可能会影响正常正常流程.
一般在析构的时候,关闭句柄结束自身进程,会好些.
|
能力值:
( LV5,RANK:70 )
|
-
-
30 楼
"一定不需要VirtualAllocEx"????,看来遇到高手了,你不在别的程序的地址空间中弄点内存写入代码或者DLL的路径与名称?难道你会在内核中ooxx
82aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0W2M7$3!0#2M7X3y4W2M7#2)9J5k6h3W2F1k6X3!0K6k6h3y4A6L8Y4y4@1K9i4c8#2N6r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6#2M7$3W2F1k6#2)9J5k6r3y4J5k6h3q4@1k6i4u0W2L8h3!0@1k6i4c8Z5M7X3g2S2k6q4)9J5k6r3k6G2M7W2)9J5k6r3c8D9L8q4)9J5k6r3W2F1K9X3g2U0N6r3W2G2L8W2)9J5k6r3!0F1i4K6u0V1N6$3W2F1k6r3!0%4M7#2)9J5c8R3`.`.
|
能力值:
( LV3,RANK:20 )
|
-
-
31 楼
既然大家喜欢顶这个话题,我也参和一下:楼上的目标是x.exe被删除但其还在内存中存活,而不是DLL注入,当然把它写成dll模块注入是一个方法。但我觉得更恰当的方法是写个类似windows的loader程序,好像以前很早看到有个:LoadPE源码就是这样的:其基本思想是以SUSPEND方式创建进程A.exe,然后将其内存模块卸掉再用B.exe替换掉,再RESUME,这时管理器里还是A.exe,但内容已经是B的进程了,再删除B.exe应该就可以了。没试过,只是提供一个思路。
|
能力值:
( LV5,RANK:70 )
|
-
-
32 楼
好吧,还是“不一定”。视注入方法而定。你链接那个方法是要的。
|
能力值:
( LV5,RANK:70 )
|
-
-
33 楼
楼上的目标其实早就被病毒作者们实现过了,我也说过,可以用多种方法实现,没说一定要注入。下面我给出一个我以前写的脚本。
http://bbs.pediy.com/showthread.php?p=1231771#post1231771
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
过来看一看这些代码,学点经验
|
|
|
|
