[讨论]拦截DLL加载-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 232 关注私信	cvcvxk 10 2014-9-17 03:36 2 楼 0 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION一路回滚到NtCreateSection。。。
rock 雪币： 225 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 320 粉丝 1 关注私信	rock 2014-9-17 09:41 3 楼 0 考虑性能的话，不在于在什么地方拦截，不管你在哪里拦截，都是要计算MD5，时间不会变，要不就把所有DLL的MD5提前算好，保存备用。
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 2014-9-17 11:01 4 楼 0 大神一语中的啊正式纠结于此
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 2014-9-17 11:24 5 楼 0 这东西，脑袋多想一想，哪有那么多解决不了的问题。比如，后台服务进程一直就在后台把所有该算的文件算一遍存下来，能算多少文件是多少；同时，有PE加载时，先查存储的数据里有没有，有的话按照存储的结果来，没有就算一遍，同时把算的结果存下来。然后本次按算的结果来。而且，也未必就要MD5，否则真有个500MB的EXE时你会跳楼也解决不了问题了。。。。总之多用脑袋，哪有什么解决不了的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (4)
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 232 关注私信	cvcvxk 10 2014-9-17 03:36 2 楼 0 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION一路回滚到NtCreateSection。。。
rock 雪币： 225 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 320 粉丝 1 关注私信	rock 2014-9-17 09:41 3 楼 0 考虑性能的话，不在于在什么地方拦截，不管你在哪里拦截，都是要计算MD5，时间不会变，要不就把所有DLL的MD5提前算好，保存备用。
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 2014-9-17 11:01 4 楼 0 大神一语中的啊正式纠结于此
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 2014-9-17 11:24 5 楼 0 这东西，脑袋多想一想，哪有那么多解决不了的问题。比如，后台服务进程一直就在后台把所有该算的文件算一遍存下来，能算多少文件是多少；同时，有PE加载时，先查存储的数据里有没有，有的话按照存储的结果来，没有就算一遍，同时把算的结果存下来。然后本次按算的结果来。而且，也未必就要MD5，否则真有个500MB的EXE时你会跳楼也解决不了问题了。。。。总之多用脑袋，哪有什么解决不了的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复