[求助][求助]DLL注入最佳时机，求教-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 11 关注私信	noNumber 2 2 楼好像创建进程的时候挂起，能够注入DLL进行HOOK，然后再恢复 2017-6-22 00:43 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 3 楼 noNumber 好像创建进程的时候挂起，能够注入DLL进行HOOK，然后再恢复崩溃， 2017-6-22 00:57 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 11 关注私信	noNumber 2 4 楼 http://blog.csdn.net/misterliwei/article/details/4459086 看看这个顺序有没有帮助你的意思是要HOOK子进程里的NtCreateSection？这样的话 HOOK 父进程的 ZwResumeThread ，在子进程执行之前进行HOOK不知道行不行。 2017-6-22 01:27 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 11 关注私信	noNumber 2 5 楼 noNumber http://blog.csdn.net/misterliwei/article/details/4459086 看看这个顺序有没有帮助你的意思是要HOOK子进程里的NtCreateSection ... 没记错的话父进程创建一个子进程，最后都要用ZwResumeThread让子进程跑起来的，这之前可以用创建远程线程的方法注入DLL并让DLL得到执行... 2017-6-22 01:30 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 6 楼 noNumber 没记错的话父进程创建一个子进程，最后都要用ZwResumeThread让子进程跑起来的，这之前可以用创建远程线程的方法注入DLL并让DLL得到执行... 完了，估计是他加了什么验证？？确实可以注入，但是HOOK崩溃 +Sleep就没事，这货TMD+VMP 2017-6-22 02:33 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 7 楼我猜你没有以PROCESS_DUP_HANDLE权限OpenProcess，并且进程没UAC管理员权限 2017-6-22 09:14 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 8 楼 CREATE_SUSPEND, hook新进程的LdrLoadDll, 就可以在kernel32.dll之前加载 2017-6-22 12:26 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 9 楼 hzqst 我猜你没有以PROCESS_DUP_HANDLE权限OpenProcess，并且进程没UAC管理员权限我创建了2个子进程，同样的方法创建和注入和HOOK 第一个子进程顺利完成，第二个就崩溃。估计不是这个问题 2017-6-22 12:54 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 10 楼哇咔咔zs 我创建了2个子进程，同样的方法创建和注入和HOOK 第一个子进程顺利完成，第二个就崩溃。估计不是这个问题我在说复制句柄的事。干那个活儿需要PROCESS_DUP_HANDLE和管理员权限（小盾牌） 2017-6-22 14:22 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 11 楼 hzqst 我在说复制句柄的事。干那个活儿需要PROCESS_DUP_HANDLE和管理员权限（小盾牌）手动关闭测试下，不行人家还有用所以只能修改名称了 2017-6-22 18:05 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 12 楼记得弄过内核对象不能修改已存在的对象名称，x64也不能HOOK内核难道没办法了吗 2017-6-22 19:05 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 13 楼 hzqst 我在说复制句柄的事。干那个活儿需要PROCESS_DUP_HANDLE和管理员权限（小盾牌）终于搞定了，真猥琐哈哈哈 2017-6-23 02:31 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 11 关注私信	noNumber 2 14 楼哇咔咔zs [em_3][em_2][em_3]终于搞定了，真猥琐哈哈哈搞定的句柄的问题还是这个主题的问题呀? 果然是因为程序做了手脚？ 2017-6-23 15:56 0
传奇金商雪币： 164 能力值： (RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	传奇金商 15 楼 @哇咔咔zs 老板我这边是合击版本的登陆器检测很恼火看你那一边能搞不一起合作下我的扣扣是85862121 2017-8-23 21:42 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 16 楼传奇金商 @哇咔咔zs 老板我这边是合击版本的登陆器检测很恼火看你那一边能搞不一起合作下我的扣扣是85862121 什么东西，详细介绍下，Q417402247 2017-8-24 05:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 11 关注私信	noNumber 2 2 楼好像创建进程的时候挂起，能够注入DLL进行HOOK，然后再恢复 2017-6-22 00:43 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 3 楼 noNumber 好像创建进程的时候挂起，能够注入DLL进行HOOK，然后再恢复崩溃， 2017-6-22 00:57 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 11 关注私信	noNumber 2 4 楼 http://blog.csdn.net/misterliwei/article/details/4459086 看看这个顺序有没有帮助你的意思是要HOOK子进程里的NtCreateSection？这样的话 HOOK 父进程的 ZwResumeThread ，在子进程执行之前进行HOOK不知道行不行。 2017-6-22 01:27 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 11 关注私信	noNumber 2 5 楼 noNumber http://blog.csdn.net/misterliwei/article/details/4459086 看看这个顺序有没有帮助你的意思是要HOOK子进程里的NtCreateSection ... 没记错的话父进程创建一个子进程，最后都要用ZwResumeThread让子进程跑起来的，这之前可以用创建远程线程的方法注入DLL并让DLL得到执行... 2017-6-22 01:30 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 6 楼 noNumber 没记错的话父进程创建一个子进程，最后都要用ZwResumeThread让子进程跑起来的，这之前可以用创建远程线程的方法注入DLL并让DLL得到执行... 完了，估计是他加了什么验证？？确实可以注入，但是HOOK崩溃 +Sleep就没事，这货TMD+VMP 2017-6-22 02:33 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 7 楼我猜你没有以PROCESS_DUP_HANDLE权限OpenProcess，并且进程没UAC管理员权限 2017-6-22 09:14 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 8 楼 CREATE_SUSPEND, hook新进程的LdrLoadDll, 就可以在kernel32.dll之前加载 2017-6-22 12:26 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 9 楼 hzqst 我猜你没有以PROCESS_DUP_HANDLE权限OpenProcess，并且进程没UAC管理员权限我创建了2个子进程，同样的方法创建和注入和HOOK 第一个子进程顺利完成，第二个就崩溃。估计不是这个问题 2017-6-22 12:54 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 10 楼哇咔咔zs 我创建了2个子进程，同样的方法创建和注入和HOOK 第一个子进程顺利完成，第二个就崩溃。估计不是这个问题我在说复制句柄的事。干那个活儿需要PROCESS_DUP_HANDLE和管理员权限（小盾牌） 2017-6-22 14:22 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 11 楼 hzqst 我在说复制句柄的事。干那个活儿需要PROCESS_DUP_HANDLE和管理员权限（小盾牌）手动关闭测试下，不行人家还有用所以只能修改名称了 2017-6-22 18:05 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 12 楼记得弄过内核对象不能修改已存在的对象名称，x64也不能HOOK内核难道没办法了吗 2017-6-22 19:05 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 13 楼 hzqst 我在说复制句柄的事。干那个活儿需要PROCESS_DUP_HANDLE和管理员权限（小盾牌）终于搞定了，真猥琐哈哈哈 2017-6-23 02:31 0
noNumber 雪币： 308 活跃值： (230) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 89 粉丝 11 关注私信	noNumber 2 14 楼哇咔咔zs [em_3][em_2][em_3]终于搞定了，真猥琐哈哈哈搞定的句柄的问题还是这个主题的问题呀? 果然是因为程序做了手脚？ 2017-6-23 15:56 0
传奇金商雪币： 164 能力值： (RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	传奇金商 15 楼 @哇咔咔zs 老板我这边是合击版本的登陆器检测很恼火看你那一边能搞不一起合作下我的扣扣是85862121 2017-8-23 21:42 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 16 楼传奇金商 @哇咔咔zs 老板我这边是合击版本的登陆器检测很恼火看你那一边能搞不一起合作下我的扣扣是85862121 什么东西，详细介绍下，Q417402247 2017-8-24 05:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复