[求助]在R3下DuplicateHandle方式的注入可以防止吗?-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

最新回复 (5)
Rookietp 雪币： 1047 活跃值： (766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 804 粉丝 2 关注私信	Rookietp 2 楼 DuplicateHandle 不是只是借句柄么 2013-10-22 16:46 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼不让dllload即可而且你不知道不让别人复制啊…… 2013-10-22 22:15 0
lanlongnet 雪币： 98 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	lanlongnet 4 楼 1、怎能能防止别人复制那？ 2、如果被强制暂停了整个进程，通过设置线程上下文把内存中的dll内容直接写进去的话，好像连个痕迹都没有了吧，怎么防止那？ 2013-10-22 23:59 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 5 楼唉……很久以前的技术了复制所有进程（主要是csrss）的句柄，然后把本进程的句柄找出来一个个关掉 2013-10-23 17:57 0
thenight 雪币： 118 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	thenight 6 楼非常古老的东西. 不用什么防复制. 大部分保护都过滤了. 难道你写保护就只过滤ntopenprocess和ntopenthread吗? 再者.不需要1成立.r3防注入也是不可能的事情. 只要能写内存.就可以大大方方放一个peloader的shellcode进去 2013-10-23 23:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
Rookietp 雪币： 1047 活跃值： (766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 804 粉丝 2 关注私信	Rookietp 2 楼 DuplicateHandle 不是只是借句柄么 2013-10-22 16:46 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼不让dllload即可而且你不知道不让别人复制啊…… 2013-10-22 22:15 0
lanlongnet 雪币： 98 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	lanlongnet 4 楼 1、怎能能防止别人复制那？ 2、如果被强制暂停了整个进程，通过设置线程上下文把内存中的dll内容直接写进去的话，好像连个痕迹都没有了吧，怎么防止那？ 2013-10-22 23:59 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 5 楼唉……很久以前的技术了复制所有进程（主要是csrss）的句柄，然后把本进程的句柄找出来一个个关掉 2013-10-23 17:57 0
thenight 雪币： 118 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	thenight 6 楼非常古老的东西. 不用什么防复制. 大部分保护都过滤了. 难道你写保护就只过滤ntopenprocess和ntopenthread吗? 再者.不需要1成立.r3防注入也是不可能的事情. 只要能写内存.就可以大大方方放一个peloader的shellcode进去 2013-10-23 23:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复