CreateProcess中CREATE_SUSPENDED,用于不用的区别-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 2006-7-1 19:37 2 楼 0 SUSPENDED，程序处于非活动状态。注入以后当然无法正常调用。建议你看看操作系统原理。讲unix的那种。
xiaofeng 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 122 粉丝 0 关注私信	xiaofeng 2006-7-1 20:19 3 楼 0 suspend 的进程中没有运行的线程, 所以loadlibrary 是不能成功的, 因为这需要线程运行才可以. 程序完全运行起来自然可以了.
leahart 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 29 粉丝 0 关注私信	leahart 2006-7-1 20:23 4 楼 0 有没有办法让程序不处于活动状态又可以调用到目标程序里的某个地址函数的方法？
playar 雪币： 199 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 178 粉丝 1 关注私信	playar 2006-7-1 21:56 5 楼 0 弄个线程不久得了。在suspend后，用CreateRemoteThread创建的线程是可以运行的
h_f22 雪币： 225 活跃值： (137) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	h_f22 2 2006-7-1 22:05 6 楼 0 因为Suspend了吗，Suspend就是挂起的意思，进程的主线程没活动，这个时候的状态可以认为是用Olldbg加载进程后停在OEP处的状态，EIP指向入口地址，代码段和数据段映射完毕，IAT也计算并加载完毕。如果想HookDll，我以前的方法就是把OEP的代码改了，跳到一段自己的代码写的代码里面，可以用WriteProcMemory在目标进程中找个地方写进去，然后挂DLL或者修改IAT什么的，最后跳回来恢复一下，resumethread就可以了。
leahart 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 29 粉丝 0 关注私信	leahart 2006-7-2 18:38 7 楼 0 最初由 playar* 发布* 弄个线程不久得了。在suspend后，用CreateRemoteThread创建的线程是可以运行的 CreateRemoteThread 好象一般的用法都是把自己的函数写入目标地址，但是我已经知道目标进程函数的地址了，能否直接在这个API里写入那个地址直接筹建？
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2006-7-2 19:11 8 楼 0 最初由 leahart* 发布* CreateRemoteThread 好象一般的用法都是把自己的函数写入目标地址，但是我已经知道目标进程函数的地址了，能否直接在这个API里写入那个地址直接筹建？只要那个函数定义符合 DWORD WINAPI ThreadProc(LPVOID lpParameter) 这种形式
leahart 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 29 粉丝 0 关注私信	leahart 2006-7-2 19:35 9 楼 0 最初由 Isaiah* 发布* 只要那个函数定义符合 DWORD WINAPI ThreadProc(LPVOID lpParameter) 这种形式那个函数经过分析有5个参数， PUSH VAR1 PUSH VAR2 PUSH VAR3 PUSH VAR4 PUSH VAR5 CALL XXXX ADD ESP， 14H 我在我我的程序里通过结构体，传递参数过来的。不知道这样是否符合？
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2006-7-3 00:49 10 楼 0 很不幸，不符合~~。只有想其他的变通的办法
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 2006-7-1 19:37 2 楼 0 SUSPENDED，程序处于非活动状态。注入以后当然无法正常调用。建议你看看操作系统原理。讲unix的那种。
xiaofeng 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 122 粉丝 0 关注私信	xiaofeng 2006-7-1 20:19 3 楼 0 suspend 的进程中没有运行的线程, 所以loadlibrary 是不能成功的, 因为这需要线程运行才可以. 程序完全运行起来自然可以了.
leahart 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 29 粉丝 0 关注私信	leahart 2006-7-1 20:23 4 楼 0 有没有办法让程序不处于活动状态又可以调用到目标程序里的某个地址函数的方法？
playar 雪币： 199 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 178 粉丝 1 关注私信	playar 2006-7-1 21:56 5 楼 0 弄个线程不久得了。在suspend后，用CreateRemoteThread创建的线程是可以运行的
h_f22 雪币： 225 活跃值： (137) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 76 粉丝 0 关注私信	h_f22 2 2006-7-1 22:05 6 楼 0 因为Suspend了吗，Suspend就是挂起的意思，进程的主线程没活动，这个时候的状态可以认为是用Olldbg加载进程后停在OEP处的状态，EIP指向入口地址，代码段和数据段映射完毕，IAT也计算并加载完毕。如果想HookDll，我以前的方法就是把OEP的代码改了，跳到一段自己的代码写的代码里面，可以用WriteProcMemory在目标进程中找个地方写进去，然后挂DLL或者修改IAT什么的，最后跳回来恢复一下，resumethread就可以了。
leahart 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 29 粉丝 0 关注私信	leahart 2006-7-2 18:38 7 楼 0 最初由 playar* 发布* 弄个线程不久得了。在suspend后，用CreateRemoteThread创建的线程是可以运行的 CreateRemoteThread 好象一般的用法都是把自己的函数写入目标地址，但是我已经知道目标进程函数的地址了，能否直接在这个API里写入那个地址直接筹建？
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2006-7-2 19:11 8 楼 0 最初由 leahart* 发布* CreateRemoteThread 好象一般的用法都是把自己的函数写入目标地址，但是我已经知道目标进程函数的地址了，能否直接在这个API里写入那个地址直接筹建？只要那个函数定义符合 DWORD WINAPI ThreadProc(LPVOID lpParameter) 这种形式
leahart 雪币： 217 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 29 粉丝 0 关注私信	leahart 2006-7-2 19:35 9 楼 0 最初由 Isaiah* 发布* 只要那个函数定义符合 DWORD WINAPI ThreadProc(LPVOID lpParameter) 这种形式那个函数经过分析有5个参数， PUSH VAR1 PUSH VAR2 PUSH VAR3 PUSH VAR4 PUSH VAR5 CALL XXXX ADD ESP， 14H 我在我我的程序里通过结构体，传递参数过来的。不知道这样是否符合？
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2006-7-3 00:49 10 楼 0 很不幸，不符合~~。只有想其他的变通的办法
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复