[求助]PCHunter进程模块遍历-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 2 楼上传的附件： zzz.jpg （102.79kb，215次下载） 2015-7-7 23:11 0
bxc 雪币： 7048 活跃值： (3527) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 26 关注私信	bxc 6 3 楼给你几个关键字，百度一下吧，这是最简单的枚举模块的方法 CreateToolhelp32Snapshot TH32CS_SNAPMODULE Module32First Module32Next CloseHandle 2015-7-7 23:59 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 4 楼你这个是通过PEB结构的LDR_DATA_TABLE_ENTRY遍历的么不同的XueTr版本方法不一样耶 2015-7-8 00:02 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 5 楼抹信息的方法基本上是没用的，自己分配内存放dll数据再抹掉pe头可能还有戏 2015-7-8 12:59 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 6 楼重新分配内存放dll数据如果DLL数据量大，还要重定位代码，很麻烦 PCHunter模块遍历总应该调用API函数获得吧 2015-7-8 13:16 0
rozbo 雪币： 102 活跃值： (142) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 0 关注私信	rozbo 7 楼我是自己模拟的loadlibrary 2015-7-8 13:58 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 8 楼有测试过么，OD或PCHunter还能扫到DLL模块么 2015-7-8 15:44 0
z许雪币： 1895 活跃值： (1642) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 9 楼 EPROCESS -> VAD 搜下看雪吧。XT直接就空白了。 2015-7-8 16:10 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 10 楼 ZwQueryVirtualMemory 2015-7-8 19:54 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 11 楼按照师兄的方法把EPROCESS -> VAD抹掉了 PCHunter还是能搜到模块--- 2015-7-12 22:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 12 楼 PEB里的LDR NTDLL里的那个HashTable VAD 内存中PE头 2015-7-13 18:01 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 13 楼其他都处理了 NTDLL里的那个HashTable，这个不知道有没有相关的文章参考下不过EPROCESS -> VAD处理的可能不是很到位，他是个二叉树我只是把DLL路径抹掉测试的，摘这个树没找到相关的API 2015-7-13 19:51 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 14 楼不如自己内存重定位个多方便....弄这么多太麻烦了 2015-7-13 23:06 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 15 楼把DLL数据全部重定位，不知道对DLL有窗口的-定时器或线程,输出信息函数有没有影响 2015-7-14 14:20 0
安全裤雪币： 474 活跃值： (846) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 30 粉丝 3 关注私信	安全裤 16 楼 ZwQueryVirtualMemory 传参2 可以得到内存模块名称然后判断内存执行属性，无论什么方式进入进程内的基本都可以锁定了 2015-8-7 10:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
hnllhuihui 雪币： 67 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 127 粉丝 0 关注私信	hnllhuihui 2 楼上传的附件： zzz.jpg （102.79kb，215次下载） 2015-7-7 23:11 0
bxc 雪币： 7048 活跃值： (3527) 能力值： ( LV12，RANK：340 ) 在线值：发帖 245 回帖 1332 粉丝 26 关注私信	bxc 6 3 楼给你几个关键字，百度一下吧，这是最简单的枚举模块的方法 CreateToolhelp32Snapshot TH32CS_SNAPMODULE Module32First Module32Next CloseHandle 2015-7-7 23:59 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 4 楼你这个是通过PEB结构的LDR_DATA_TABLE_ENTRY遍历的么不同的XueTr版本方法不一样耶 2015-7-8 00:02 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 5 楼抹信息的方法基本上是没用的，自己分配内存放dll数据再抹掉pe头可能还有戏 2015-7-8 12:59 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 6 楼重新分配内存放dll数据如果DLL数据量大，还要重定位代码，很麻烦 PCHunter模块遍历总应该调用API函数获得吧 2015-7-8 13:16 0
rozbo 雪币： 102 活跃值： (142) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 0 关注私信	rozbo 7 楼我是自己模拟的loadlibrary 2015-7-8 13:58 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 8 楼有测试过么，OD或PCHunter还能扫到DLL模块么 2015-7-8 15:44 0
z许雪币： 1895 活跃值： (1642) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 9 楼 EPROCESS -> VAD 搜下看雪吧。XT直接就空白了。 2015-7-8 16:10 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 10 楼 ZwQueryVirtualMemory 2015-7-8 19:54 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 11 楼按照师兄的方法把EPROCESS -> VAD抹掉了 PCHunter还是能搜到模块--- 2015-7-12 22:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 12 楼 PEB里的LDR NTDLL里的那个HashTable VAD 内存中PE头 2015-7-13 18:01 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 13 楼其他都处理了 NTDLL里的那个HashTable，这个不知道有没有相关的文章参考下不过EPROCESS -> VAD处理的可能不是很到位，他是个二叉树我只是把DLL路径抹掉测试的，摘这个树没找到相关的API 2015-7-13 19:51 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 14 楼不如自己内存重定位个多方便....弄这么多太麻烦了 2015-7-13 23:06 0
luoxueba 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	luoxueba 15 楼把DLL数据全部重定位，不知道对DLL有窗口的-定时器或线程,输出信息函数有没有影响 2015-7-14 14:20 0
安全裤雪币： 474 活跃值： (846) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 30 粉丝 3 关注私信	安全裤 16 楼 ZwQueryVirtualMemory 传参2 可以得到内存模块名称然后判断内存执行属性，无论什么方式进入进程内的基本都可以锁定了 2015-8-7 10:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复