能力值:
( LV2,RANK:10 )
|
-
-
2 楼
感谢分享
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
也可以不修复重定位,在卸载的地址revirtual
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
我想知道全局HOOK,怎么隐藏DLL文件, SetWindowsHookEx
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
学习了。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
加壳的DLL不可以吧.
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
mark 学习了
|
能力值:
( LV10,RANK:170 )
|
-
-
9 楼
|
能力值:
( LV10,RANK:170 )
|
-
-
10 楼
化魔
我想知道全局HOOK,怎么隐藏DLL文件, SetWindowsHookEx
这个也是一样的,代码都不用修改
|
能力值:
( LV4,RANK:50 )
|
-
-
11 楼
感谢分享
|
能力值:
( LV2,RANK:15 )
|
-
-
12 楼
最多算是分享吧?
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
内存加载dll
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
只是遍历不到模块罢了,遍历内存可执行属性一样暴露无遗。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
mark
最后于 2018-6-22 11:10
被Carkem编辑
,原因:
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
chpeagle
这个也是一样的,代码都不用修改
我怎么测试直接崩溃啊,能有个例子吗。
|
能力值:
( LV10,RANK:170 )
|
-
-
17 楼
化魔
我怎么测试直接崩溃啊,能有个例子吗。
你调用SetWindowHook是在哪里调用.应该在新申请的空间里面调用,因为一开始加载进去的模块已经卸载了.
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
化魔
我想知道全局HOOK,怎么隐藏DLL文件, SetWindowsHookEx
SetWindowsHookEx全局HOOK不建议隐藏dll
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
楼主能上传源代码编译文件就完美了...
|
能力值:
( LV10,RANK:170 )
|
-
-
20 楼
wonderzdh
只是遍历不到模块罢了,遍历内存可执行属性一样暴露无遗。
确实,但可执行属性并不代表就是代码,但是为了防止一部分内存特征扫描可以进一步抹去PE头,导出表,导入表,重定位表,TLS表,和敏感字段.
|
能力值:
( LV3,RANK:20 )
|
-
-
21 楼
不错的思路
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
GOOD~
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
mark
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
注入之后怎么卸载啊
|
能力值:
( LV10,RANK:170 )
|
-
-
25 楼
云霁
注入之后怎么卸载啊
还原Hook,释放内存就卸载了.但是不能直接在模块里调用VirtualFree(这样做的后果很可能就是直接崩溃),应该在栈里面构造一段代码来执行VirtualFree.或者在不属于释放模块的内存空间.如果要在模块里调用VirutalFree,应该在堆栈构造参数,堆栈内容为:[返回EIP,VirtualFree的参数],然后jmp VirtualFree.返回EIP就是主程序进入模块前下一条指令的地址.
|
|
|