能力值:
( LV2,RANK:10 )
|
-
-
51 楼
等我修改下 看看
|
能力值:
( LV2,RANK:10 )
|
-
-
52 楼
这招是火绒先搞的吧- -
|
能力值:
( LV9,RANK:280 )
|
-
-
53 楼
挖的一手好坟
|
能力值:
( LV2,RANK:10 )
|
-
-
54 楼
[QUOTE=hzqst;1463820]挖的一手好坟 [/QUOTE]
没注意时间
|
能力值:
( LV4,RANK:50 )
|
-
-
55 楼
代码修改后,编译BIN可以注入?
|
能力值:
( LV2,RANK:10 )
|
-
-
56 楼
lhglhg
代码修改后,编译BIN可以注入?
修改后不可以注入,在xp下查找导出表的时候,就异常了。
|
能力值:
( LV1,RANK:0 )
|
-
-
57 楼
win10好像不行 需要改什么吗?
|
能力值:
( LV1,RANK:0 )
|
-
-
58 楼
Nicalzhou
Win7 X64下能正常注入. 但是在Win10 X64失败了. 原因未明. 我是新手.
这个后来解决了么?
|
能力值:
( LV2,RANK:10 )
|
-
-
59 楼
我这边也有个样本
|
能力值:
( LV4,RANK:50 )
|
-
-
60 楼
感谢分享!
|
能力值:
( LV2,RANK:10 )
|
-
-
61 楼
flylinfan
在64环境中看你启动的是32位程序还是64程序,如果启动的64位程序就在ProcessNotify中进行ShellCode插入,还有就是确认下你的ZwProtectVirtualMemory函数地址是 ... 请问:为什么wow64 ntdll的地址每次都需要计算一次?
最后于 2021-11-26 11:21
被lemontry编辑
,原因:
|
能力值:
( LV2,RANK:10 )
|
-
-
62 楼
挖下贴子 见谅 这2016年的技术在当下的操作系统中依然很好用,其中有个小小的bug 场景为64位系统中,注入64位程序,会概率性导致目标程序奔溃无法启动,奔溃原因是构造JMP指令跳转地址错误导致,具体场景为ntdll的模块地址的低4字节在 0x70000000到0x80000000,比如ntDLL位于00007ffa`7ee90000 这个地址就会上述问题, 删除if ((ULONG)TargetFuncAddress < (ULONG)0x80000000 && (ULONG)TargetFuncAddress >= (ULONG)0x70000000) 这个if 判定 留下else里的代码即可修正此 bug, 望后来有缘人知悉,不必重复排查。
|
|
|