能力值:
( LV8,RANK:130 )
|
-
-
2 楼
http://www.cnblogs.com/xuanyuan/p/5373677.html我这篇文章里面有提到这个问题。
PS:这位兄台是要锁首页么?
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
ntdll镜像回调中 hook LdrLoadDll实现注入
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
http://blog.csdn.net/chenyujing1234/article/details/7860629
可以看看这个,进程运行之前运行注入Dll的功能。
|
能力值:
( LV9,RANK:280 )
|
-
-
5 楼
不是,主要是为了做进程防护,监控远程读写内存、远程线程注入、消息钩子注入这类内核中很难监控的操作(商用软件,要支持XP,不能用VT)
|
能力值:
( LV9,RANK:280 )
|
-
-
6 楼
谢谢,我反汇编了一下火绒的sysdiag.sys发现他好像就是hook的LdrLoadDll,不过我在一楼有提到镜像回调中是不让Query/Alloc/ProtectVirtualMemory的(会死锁),所以hook操作是不是要弄个WorkItem放到镜像回调外面?。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
论坛有个人发过 也是成熟解决方案 ImageNotify 然后特定时机注入
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
我都是插APC,也没发现有啥问题啊。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
如果没初始化完毕就等他初始化完毕接着注入
|
能力值:
( LV9,RANK:280 )
|
-
-
10 楼
已经搞定了,抄袭的火绒的注入方式(hook ntdll!ZwTestAlert)
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
大哥求个详细的的介绍
|
能力值:
( LV9,RANK:280 )
|
-
-
12 楼
http://mengwuji.net/forum.php?mod=viewthread&tid=6765
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
问下,为什么回调里面调用ZwAllocVirtualMemory会卡死?最终是什么导致的?
|
能力值:
( LV9,RANK:280 )
|
-
-
14 楼
EPROCESS->AddressCreationLock被上锁了
XXXVirtualMemory系列都会获取这个锁,导致死锁
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
非常感谢
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
楼主解决了可否给我用用,好纠结
|
|
|