创建远程注入，偶尔会失败，怎么才能%100注入呢-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 创建远程注入，偶尔会失败，怎么才能%100注入呢 0.00雪花

发表于: 2016-1-24 11:50 5995

[旧帖] 创建远程注入，偶尔会失败，怎么才能%100注入呢 0.00雪花

赵建新

2016-1-24 11:50

5995

我在程序加了时钟，每500毫秒自动搜索打开进程，如果发现进程则注入，但是这种方法有时候注入不到，怎么才能%100注入呢

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (28) 1 2 ▶
jeppeter 雪币： 28 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	jeppeter 2 楼你要确定是什么原因不能注入，没有一种方法能保证100%能成功，举个例子，如果你是一个很快执行的程序，当你要注入的时候，已经退出了，那不就不能注入了。还有一种可能，就是这个进程就有防护。能防止不被注入。 2016-1-25 19:52 0
cattyabcd 雪币： 2822 活跃值： (154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 1 关注私信	cattyabcd 3 楼使用全局hook 2016-1-25 21:35 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 4 楼驱动注入把 2016-1-28 14:32 0
千千万雪币： 270 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	千千万 5 楼 SetWindowsHookEx 2016-1-28 14:50 0
ldfkx 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ldfkx 6 楼多线程+管理员身份 2016-1-28 16:59 0
古往今来雪币： 250 活跃值： (81) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	古往今来 7 楼 windows 核心编程InjLib 2016-1-28 18:55 0
MAXtoDEATH 雪币： 38 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	MAXtoDEATH 8 楼创建循环体寻找进程，如果一进程不存在换下个，注入后判断返回值，不为成功值则查找hips类防御进程，同时检测父进程和调试，如发现逆向则进入反调试代码，这要不行也就差不多了吧。。。 2016-2-26 20:03 0
wang王雪币： 4751 活跃值： (1783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 9 楼什么样的失败情况没说清楚注入函数调用失败错误码多少 2016-2-26 21:42 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 10 楼看看我之前写着玩的东西对你有帮助不 https://github.com/BackTrackCRoot/Auto-Inject-Dll 2016-2-26 21:43 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 11 楼你的这个远程注入，只支持xp这些吧 2016-2-26 22:38 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 12 楼 Win8.1跑起来没问题 2016-2-26 22:40 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 13 楼 createremoteThread,win7能行？ 2016-2-27 22:31 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 14 楼我WIn8.1 32位程序64位程序都可以-- 杀毒软件提示是一回事 2016-2-28 09:39 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 15 楼表示，win7 64位，失败用远程线程注入失败createremotethread，这个api，在winxp~03以上的系统都会有问题。http://blog.csdn.net/wangningyu/article/details/6456607 2016-2-28 16:34 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 16 楼能用，我用的也是这个。win7 64系统。我失败的原因是VMP加壳出的问题。有时加壳之后就爱失败，不知道为什么。 2016-2-28 17:21 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 17 楼好吧，可能我想多了 2016-2-28 19:53 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 18 楼关键字加VMP？这种最不好，关键字都落在 push ebp mov ebp,esp 这里面最好用 map方式非常稳定 2016-2-28 20:28 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 19 楼咦我Win8.1 中文版64位注入64位记事本没有问题 2016-2-29 17:40 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 20 楼嗯嗯，是我想太多了 2016-3-1 10:59 0
hhhaiai 雪币： 2714 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 154 粉丝 2 关注私信	hhhaiai 21 楼建议使用驱动注入，使用动态检查 2016-3-2 13:39 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 22 楼话说 64位的驱动没签名有什么好加载的方法么？ 2016-3-2 13:43 0
ccj 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 59 粉丝 1 关注私信	ccj 23 楼 wcscat_s(DllPath, 4, L"\\"); 执行到这里报错，把4改大以后，继续执行报“堆已损坏” 2016-3-3 16:30 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 24 楼 [QUOTE=ccj;1418021] wcscat_s(DllPath, 4, L"\\"); 执行到这里报错，把4改大以后，继续执行报“堆已损坏”[/QUOTE] 嘎-- 你能给我更详细的位置否？你用VS打开跑一下看看崩溃在哪一行 2016-3-3 18:55 0
atChenAn 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	atChenAn 25 楼不会，我这里 WIN10 都可以远程注入 2016-3-25 18:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

赵建新

156

发帖

410

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
jeppeter 雪币： 28 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	jeppeter 2 楼你要确定是什么原因不能注入，没有一种方法能保证100%能成功，举个例子，如果你是一个很快执行的程序，当你要注入的时候，已经退出了，那不就不能注入了。还有一种可能，就是这个进程就有防护。能防止不被注入。 2016-1-25 19:52 0
cattyabcd 雪币： 2822 活跃值： (154) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 1 关注私信	cattyabcd 3 楼使用全局hook 2016-1-25 21:35 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 4 楼驱动注入把 2016-1-28 14:32 0
千千万雪币： 270 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	千千万 5 楼 SetWindowsHookEx 2016-1-28 14:50 0
ldfkx 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ldfkx 6 楼多线程+管理员身份 2016-1-28 16:59 0
古往今来雪币： 250 活跃值： (81) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	古往今来 7 楼 windows 核心编程InjLib 2016-1-28 18:55 0
MAXtoDEATH 雪币： 38 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	MAXtoDEATH 8 楼创建循环体寻找进程，如果一进程不存在换下个，注入后判断返回值，不为成功值则查找hips类防御进程，同时检测父进程和调试，如发现逆向则进入反调试代码，这要不行也就差不多了吧。。。 2016-2-26 20:03 0
wang王雪币： 4751 活跃值： (1783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 9 楼什么样的失败情况没说清楚注入函数调用失败错误码多少 2016-2-26 21:42 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 10 楼看看我之前写着玩的东西对你有帮助不 https://github.com/BackTrackCRoot/Auto-Inject-Dll 2016-2-26 21:43 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 11 楼你的这个远程注入，只支持xp这些吧 2016-2-26 22:38 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 12 楼 Win8.1跑起来没问题 2016-2-26 22:40 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 13 楼 createremoteThread,win7能行？ 2016-2-27 22:31 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 14 楼我WIn8.1 32位程序64位程序都可以-- 杀毒软件提示是一回事 2016-2-28 09:39 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 15 楼表示，win7 64位，失败用远程线程注入失败createremotethread，这个api，在winxp~03以上的系统都会有问题。http://blog.csdn.net/wangningyu/article/details/6456607 2016-2-28 16:34 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 16 楼能用，我用的也是这个。win7 64系统。我失败的原因是VMP加壳出的问题。有时加壳之后就爱失败，不知道为什么。 2016-2-28 17:21 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 17 楼好吧，可能我想多了 2016-2-28 19:53 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 18 楼关键字加VMP？这种最不好，关键字都落在 push ebp mov ebp,esp 这里面最好用 map方式非常稳定 2016-2-28 20:28 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 19 楼咦我Win8.1 中文版64位注入64位记事本没有问题 2016-2-29 17:40 0
BlackTrace 雪币： 1305 活跃值： (228) 能力值： ( LV5，RANK：75 ) 在线值：发帖 4 回帖 160 粉丝 0 关注私信	BlackTrace 20 楼嗯嗯，是我想太多了 2016-3-1 10:59 0
hhhaiai 雪币： 2714 活跃值： (1611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 154 粉丝 2 关注私信	hhhaiai 21 楼建议使用驱动注入，使用动态检查 2016-3-2 13:39 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 22 楼话说 64位的驱动没签名有什么好加载的方法么？ 2016-3-2 13:43 0
ccj 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 59 粉丝 1 关注私信	ccj 23 楼 wcscat_s(DllPath, 4, L"\\"); 执行到这里报错，把4改大以后，继续执行报“堆已损坏” 2016-3-3 16:30 0
CRoot 雪币： 3366 活跃值： (1358) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 24 楼 [QUOTE=ccj;1418021] wcscat_s(DllPath, 4, L"\\"); 执行到这里报错，把4改大以后，继续执行报“堆已损坏”[/QUOTE] 嘎-- 你能给我更详细的位置否？你用VS打开跑一下看看崩溃在哪一行 2016-3-3 18:55 0
atChenAn 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	atChenAn 25 楼不会，我这里 WIN10 都可以远程注入 2016-3-25 18:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复