首页
社区
课程
招聘
[原创]今天跟大家聊聊Tp。都说过他很难,不见得,无意间的事!
发表于: 2016-11-19 16:51 8129

[原创]今天跟大家聊聊Tp。都说过他很难,不见得,无意间的事!

2016-11-19 16:51
8129
ps:论坛是交流学习的,谈谈个人经历,不算违规吧,如果算那就请管理删帖。

我无意间想到使用一种方法,修改输入表达到自挂接的方法,而且测试成功了,不报错,当然我也不会制作什么功能,只是间断性弹信息表示DLL还活着。
测试1、同时挂接2个DLL,不报错。
测试2、挂接带窗口DLL,不报错。

当然简单修改输入表肯定是不行的,接下来的工作就不能讲了,免得他们说我泄露机密而给抓,就不值了,反正还差一步。也不能公布,不好意思了大家。
反正这个方法可行。这是一个技术,想和大家一起进步仅此而已。

‘======以下内容是我看了本站会员的言辞后决定发的,但不承担后果,如有侵犯,请联系管理删之==========’



因人而异,我直说了吧,修改某个DLL的输入表,使DLL跟随DLL被加载。程序运行后会读被修改输入表的DLL效验其MD5。那么我们只需要备份未修改的DLL,再HOOK  【CreateFileA】就OK了,当要读这个DLL的时候,我们把CreateFileA(备份的路径,打开类型,共享,。。。。)

说的够白了,

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 110
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
驱动注入不更好
2016-11-19 17:22
0
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
3
目测修改导入表之后在dllmain里恢复导入表

顺便:这话题跟tp有半毛钱关系么。。
2016-11-19 18:04
0
雪    币: 115
活跃值: (23)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
4
说了等于没说!
2016-11-19 19:10
0
雪    币: 356
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
导入表注入死得不要太惨。记得detours某个版本的注入就是导入表注入的吧。LoadImage CallBack 怎么破?
2016-11-23 14:02
0
雪    币: 19
活跃值: (1086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
想和大家一起进步,又藏着不说,你还不如别说了,发什么帖子
2016-11-23 17:42
0
雪    币: 698
活跃值: (4564)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
全局钩子WH_CBT直接插入
2016-11-23 18:17
0
雪    币: 423
活跃值: (501)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
注入后,没乱用,还是GG
2016-11-30 11:53
0
雪    币: 15
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
duang,每个注入贴都见到你,方便加一下我的QQ吗,有事情请教
2016-12-6 00:16
0
雪    币: 772
活跃值: (987)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
快来交流下,看你怎么破
2016-12-16 21:16
0
雪    币: 772
活跃值: (987)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
难道你要取函数 地址,再调用API  取该内存的前几个几节来判断是否存在JMP????
你继续想。
2016-12-16 21:17
0
雪    币: 83
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
这种R3 HOOK 驱动秒破。
2016-12-18 22:22
0
游客
登录 | 注册 方可回帖
返回
//