首页
社区
课程
招聘
[分享]DLL注入屏蔽的方式有那些?
发表于: 2015-7-23 10:17 6898

[分享]DLL注入屏蔽的方式有那些?

2015-7-23 10:17
6898
这个我实现的有多种,包括内核和应用层。
还有一些觉得可以还没来得及调试的。
他家也来说说吧.有需要探讨的,可以找我

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 40
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
你得先抛砖引玉啊
2015-7-23 11:40
0
雪    币: 135
活跃值: (106)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
3
侠义的DLL注入, 可以认为必须要调用系统的相关API才可以实现, R3可以hook LoadLibrary  LdrLoadDll之类的拦截。  R0可以考虑拦截NtCreateThread, NtMapViewOfSection之类的。
广义上的“注入”, 包括把自己的指令和数据注射到目标进程, 并让其运行。 主要还是拦截对目标进程的操作, 比如打开句柄,写入内存,映射页面, 创建远程线程之类的。
但是,不管怎么拦截肯定有办法绕过。 可以换一个思路, 比如去检测被注入进来的代码和数据, 检测被创建出来的线程之类的。
2015-7-23 12:07
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
什么是屏蔽dll
2015-7-23 13:13
0
雪    币: 27
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
如果说r0拦截函数的话,XP下拦截ntcreatesection这个也是不错的选择。
2015-7-23 14:42
0
雪    币: 272
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
64位有更多的注入方式,况且还不能hook 内核
2015-7-23 16:54
0
雪    币: 10
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
命题好模糊呀= =
2015-7-23 19:57
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
64位现在还不能hook吗
2015-7-24 01:52
0
游客
登录 | 注册 方可回帖
返回
//