[求助]关于x64内核注入dll的问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 2 楼 http://www.cnblogs.com/xuanyuan/p/5373677.html我这篇文章里面有提到这个问题。 PS:这位兄台是要锁首页么？ 2016-7-1 10:46 0
kefuta 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kefuta 3 楼 ntdll镜像回调中 hook LdrLoadDll实现注入 2016-7-1 11:36 0
leizhengzi 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	leizhengzi 4 楼 http://blog.csdn.net/chenyujing1234/article/details/7860629 可以看看这个，进程运行之前运行注入Dll的功能。 2016-7-1 12:03 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 5 楼不是，主要是为了做进程防护，监控远程读写内存、远程线程注入、消息钩子注入这类内核中很难监控的操作（商用软件，要支持XP，不能用VT） 2016-7-1 12:04 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 6 楼谢谢，我反汇编了一下火绒的sysdiag.sys发现他好像就是hook的LdrLoadDll，不过我在一楼有提到镜像回调中是不让Query/Alloc/ProtectVirtualMemory的（会死锁），所以hook操作是不是要弄个WorkItem放到镜像回调外面？。 2016-7-1 12:07 0
syser 雪币： 3663 活跃值： (4841) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 8 关注私信	syser 7 楼论坛有个人发过也是成熟解决方案 ImageNotify 然后特定时机注入 2016-7-1 12:16 0
saloyun 雪币： 457 活跃值： (2793) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 240 粉丝 2 关注私信	saloyun 8 楼我都是插APC，也没发现有啥问题啊。。。 2016-7-1 12:38 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 9 楼如果没初始化完毕就等他初始化完毕接着注入 2016-7-5 13:57 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 10 楼已经搞定了，抄袭的火绒的注入方式（hook ntdll!ZwTestAlert） 2016-7-5 15:52 0
massysten 雪币： 16 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	massysten 11 楼大哥求个详细的的介绍 2016-11-19 18:09 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 12 楼 http://mengwuji.net/forum.php?mod=viewthread&tid=6765 2016-11-19 23:37 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 13 楼问下，为什么回调里面调用ZwAllocVirtualMemory会卡死？最终是什么导致的？ 2016-11-20 01:00 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 14 楼 EPROCESS->AddressCreationLock被上锁了 XXXVirtualMemory系列都会获取这个锁，导致死锁 2016-11-20 10:51 0
massysten 雪币： 16 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	massysten 15 楼非常感谢 2016-11-21 18:57 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 16 楼楼主解决了可否给我用用，好纠结 2017-5-12 22:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
轩辕之风雪币： 2291 活跃值： (938) 能力值： ( LV8，RANK：130 ) 在线值：发帖 34 回帖 322 粉丝 67 关注私信	轩辕之风 1 2 楼 http://www.cnblogs.com/xuanyuan/p/5373677.html我这篇文章里面有提到这个问题。 PS:这位兄台是要锁首页么？ 2016-7-1 10:46 0
kefuta 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kefuta 3 楼 ntdll镜像回调中 hook LdrLoadDll实现注入 2016-7-1 11:36 0
leizhengzi 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	leizhengzi 4 楼 http://blog.csdn.net/chenyujing1234/article/details/7860629 可以看看这个，进程运行之前运行注入Dll的功能。 2016-7-1 12:03 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 5 楼不是，主要是为了做进程防护，监控远程读写内存、远程线程注入、消息钩子注入这类内核中很难监控的操作（商用软件，要支持XP，不能用VT） 2016-7-1 12:04 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 6 楼谢谢，我反汇编了一下火绒的sysdiag.sys发现他好像就是hook的LdrLoadDll，不过我在一楼有提到镜像回调中是不让Query/Alloc/ProtectVirtualMemory的（会死锁），所以hook操作是不是要弄个WorkItem放到镜像回调外面？。 2016-7-1 12:07 0
syser 雪币： 3663 活跃值： (4841) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 8 关注私信	syser 7 楼论坛有个人发过也是成熟解决方案 ImageNotify 然后特定时机注入 2016-7-1 12:16 0
saloyun 雪币： 457 活跃值： (2793) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 240 粉丝 2 关注私信	saloyun 8 楼我都是插APC，也没发现有啥问题啊。。。 2016-7-1 12:38 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 9 楼如果没初始化完毕就等他初始化完毕接着注入 2016-7-5 13:57 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 10 楼已经搞定了，抄袭的火绒的注入方式（hook ntdll!ZwTestAlert） 2016-7-5 15:52 0
massysten 雪币： 16 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	massysten 11 楼大哥求个详细的的介绍 2016-11-19 18:09 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 12 楼 http://mengwuji.net/forum.php?mod=viewthread&tid=6765 2016-11-19 23:37 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 13 楼问下，为什么回调里面调用ZwAllocVirtualMemory会卡死？最终是什么导致的？ 2016-11-20 01:00 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 14 楼 EPROCESS->AddressCreationLock被上锁了 XXXVirtualMemory系列都会获取这个锁，导致死锁 2016-11-20 10:51 0
massysten 雪币： 16 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	massysten 15 楼非常感谢 2016-11-21 18:57 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 16 楼楼主解决了可否给我用用，好纠结 2017-5-12 22:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复