首页
社区
课程
招聘
[原创]某公司DLP产品通过驱动注入DLL分析
发表于: 2016-2-27 17:22 22661

[原创]某公司DLP产品通过驱动注入DLL分析

2016-2-27 17:22
22661
收藏
免费 6
支持
分享
最新回复 (61)
雪    币: 110
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
等我修改下 看看
2016-4-16 09:02
0
雪    币: 12
活跃值: (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
52
这招是火绒先搞的吧- -
2017-2-14 11:25
0
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
53
挖的一手好坟
2017-2-14 11:57
0
雪    币: 12
活跃值: (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
54
[QUOTE=hzqst;1463820]挖的一手好坟[/QUOTE]

没注意时间
2017-2-14 15:57
0
雪    币: 221
活跃值: (2391)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
55
代码修改后,编译BIN可以注入?
2017-2-15 00:23
0
雪    币: 67
活跃值: (139)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
56
lhglhg 代码修改后,编译BIN可以注入?
修改后不可以注入,在xp下查找导出表的时候,就异常了。
2017-3-10 17:08
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
57
win10好像不行 需要改什么吗?
2019-10-29 11:33
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
58
Nicalzhou Win7 X64下能正常注入. 但是在Win10 X64失败了.  原因未明. 我是新手.
这个后来解决了么?
2019-10-29 11:44
0
雪    币: 284
活跃值: (240)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
59
我这边也有个样本
2019-11-8 10:09
0
雪    币: 3785
活跃值: (3947)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
60
感谢分享!
2020-12-11 11:29
0
雪    币: 270
活跃值: (420)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
flylinfan 在64环境中看你启动的是32位程序还是64程序,如果启动的64位程序就在ProcessNotify中进行ShellCode插入,还有就是确认下你的ZwProtectVirtualMemory函数地址是 ...

请问:为什么wow64 ntdll的地址每次都需要计算一次?

最后于 2021-11-26 11:21 被lemontry编辑 ,原因:
2021-11-26 11:03
0
雪    币: 87
活跃值: (118)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
62
挖下贴子 见谅  这2016年的技术在当下的操作系统中依然很好用,其中有个小小的bug  场景为64位系统中,注入64位程序,会概率性导致目标程序奔溃无法启动,奔溃原因是构造JMP指令跳转地址错误导致,具体场景为ntdll的模块地址的低4字节在 0x70000000到0x80000000,比如ntDLL位于00007ffa`7ee90000 这个地址就会上述问题, 删除if ((ULONG)TargetFuncAddress < (ULONG)0x80000000 && (ULONG)TargetFuncAddress >= (ULONG)0x70000000) 这个if 判定 留下else里的代码即可修正此 bug,   望后来有缘人知悉,不必重复排查。
2024-9-3 18:35
1
游客
登录 | 注册 方可回帖
返回
//