[求助]手动加载dll后seh链的问题如何处理-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 2 楼 https://github.com/strivexjun/MemoryModulePP https://github.com/bb107/MemoryModulePP 最后于 2022-12-8 23:21 被AperOdry编辑，原因： 2022-12-8 23:19 0
GloryRef 雪币： 1050 活跃值： (2774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 3 楼 AperOdry https://github.com/strivexjun/MemoryModulePP https://github.com/bb107/MemoryModulePP 感谢 2022-12-8 23:27 0
GloryRef 雪币： 1050 活跃值： (2774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 4 楼 AperOdry https://github.com/strivexjun/MemoryModulePP https://github.com/bb107/MemoryModulePP 我看了源代码，这个还是挂的链表啊。 2022-12-9 14:27 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 5 楼 GloryRef 我看了源代码，这个还是挂的链表啊。第一个expect好像靠RtlInsertInvertedFunctionTable注册的，没挂PEB吧，我遍历PEB也没发现三方模块。不过还确实不知道能靠挂ldr链表注册异常 2022-12-9 18:26 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 6 楼 GloryRef 我看了源代码，这个还是挂的链表啊。 https://bbs.pediy.com/thread-247943.htm 2022-12-9 18:27 0
Boring勇哥雪币： 4154 活跃值： (1535) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 79 粉丝 5 关注私信	Boring勇哥 7 楼 Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法（防止通过seh劫持控制流），验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将模块的信息插入到表中，实现的方式有两个：使用ntdll中的RtlInsertInvertedFunctionTable（未导出），或者搜索LdrpInvertedFunctionTable后自己实现插入函数。我选择了后者，因为前者是通过特征码搜索，需要不断更新。参考：[RtlInsertInvertedFunctionTable]https://github.com/bb107/MemoryModulePP/blob/master/MemoryModule/InvertedFunctionTable.cpp [FindLdrpInvertedFunctionTable]https://github.com/bb107/MemoryModulePP/blob/master/MemoryModule/Initialize.cpp 最后于 2022-12-9 22:45 被Boring勇哥编辑，原因： 2022-12-9 22:43 0
GloryRef 雪币： 1050 活跃值： (2774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 8 楼 Boring勇哥 Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法（防止通过seh劫持控制流），验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将 ... 感谢 2022-12-10 15:33 0
@一语成谶雪币： 107 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	@一语成谶 9 楼看不懂.... 2023-1-4 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 2 楼 https://github.com/strivexjun/MemoryModulePP https://github.com/bb107/MemoryModulePP 最后于 2022-12-8 23:21 被AperOdry编辑，原因： 2022-12-8 23:19 0
GloryRef 雪币： 1050 活跃值： (2774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 3 楼 AperOdry https://github.com/strivexjun/MemoryModulePP https://github.com/bb107/MemoryModulePP 感谢 2022-12-8 23:27 0
GloryRef 雪币： 1050 活跃值： (2774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 4 楼 AperOdry https://github.com/strivexjun/MemoryModulePP https://github.com/bb107/MemoryModulePP 我看了源代码，这个还是挂的链表啊。 2022-12-9 14:27 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 5 楼 GloryRef 我看了源代码，这个还是挂的链表啊。第一个expect好像靠RtlInsertInvertedFunctionTable注册的，没挂PEB吧，我遍历PEB也没发现三方模块。不过还确实不知道能靠挂ldr链表注册异常 2022-12-9 18:26 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 6 楼 GloryRef 我看了源代码，这个还是挂的链表啊。 https://bbs.pediy.com/thread-247943.htm 2022-12-9 18:27 0
Boring勇哥雪币： 4154 活跃值： (1535) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 79 粉丝 5 关注私信	Boring勇哥 7 楼 Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法（防止通过seh劫持控制流），验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将模块的信息插入到表中，实现的方式有两个：使用ntdll中的RtlInsertInvertedFunctionTable（未导出），或者搜索LdrpInvertedFunctionTable后自己实现插入函数。我选择了后者，因为前者是通过特征码搜索，需要不断更新。参考：[RtlInsertInvertedFunctionTable]https://github.com/bb107/MemoryModulePP/blob/master/MemoryModule/InvertedFunctionTable.cpp [FindLdrpInvertedFunctionTable]https://github.com/bb107/MemoryModulePP/blob/master/MemoryModule/Initialize.cpp 最后于 2022-12-9 22:45 被Boring勇哥编辑，原因： 2022-12-9 22:43 0
GloryRef 雪币： 1050 活跃值： (2774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 8 楼 Boring勇哥 Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法（防止通过seh劫持控制流），验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将 ... 感谢 2022-12-10 15:33 0
@一语成谶雪币： 107 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	@一语成谶 9 楼看不懂.... 2023-1-4 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复