能力值:
( LV8,RANK:130 )
|
-
-
2 楼
先procmon抓一下看看加载这个DLL的调用堆栈能不能获取到有用信息
然后可以杀死explorer,在注册表Image File Execution Options下面去登记下调试器为WinDbg。然后用任务管理器启动explorer,在调试器下让其现出原形
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
谢谢大牛,我去试试
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
不会分析~~
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
用procmon 看,只知道c:\windows下的explorer.exe要加载wlanseo.dll,这个dll本身没做好,加载就出错。而复制到c:\根目录下的explorer.exe 不加载它,能正常启动
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
直接来个注册表大换血
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
结贴!
原因知道了 ,原来就是利用dll加载路径优先级放了一个被篡改的正常dll到windows目录下,正常文件位于system32目录下,然后被篡改的dll加载wlanseo.dll。看修改时间看出来的。第一次看修改时间没看出来,第二次看才发现。
我竟然被入侵了,还是个人电脑,从不乱下东西也很久没下东西了,细思恐极!
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
发现思维太僵硬啦,也看过几篇dll劫持的帖子,但就是想不到这里去,一直在纠结“explorer.exe为什么会加载这个dll”,而没有早早想到是其他的dll要加载这个dll,思维发散不开
|
能力值:
( LV9,RANK:280 )
|
-
-
9 楼
所以这个dll到底是干什么的呢。。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
注册的com组建自动加载的dll么?
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
wlanseo.dll 无线推广?
这个dll哪个软件带入的呢
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
要不然撸主发上来,你去调试下
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
dll没做好,explorer.exe加载就报错,不然我怎么发现呢
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
楼主可以尝试下在任务管理器下杀掉explorer.exe,然后用任务管理器运行windbg,在windbg打开explorer.exe,并且输入命令sxe ld:wlanseo,在加载wlanseo.dll时调试器挂起进行调试,然后看下堆栈,应该就可以看出尝试加载wlanseo.dll的是哪个dll。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
出现了同样的问题,期待后续!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
拷到其他路径就不加载,看来不是lpk usp10这些,应该是explore自己loaddll的,win7直接劫持系统dll需要改权限,麻烦,大概人家不愿意写这种代码
还是我的xp64安全~
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
访问恶意网页也可能中招, 不一定非要下载
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
哪个dll被劫持了呢 楼主
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
感觉随便哪个 只要有权限 能改 都可以啊
|
|
|