-
-
一篇不错的文章,可惜只能在win2000上
-
发表于:
2006-10-25 08:36
3252
-
http://www.security-assessment.com/files/whitepapers/PreDebug.pdf
Bugger the Debugger: Pre Interaction Debugger Code Execution
本意是在PE Loader/Debugger初始化程序后,而没有重新获得控制权之前,运行你的特定代码,前提包括替换掉比如kernel32.DLL。
可惜从XP开始,system file protection会检查%windir%下的文件的hash,比如SHA1或者其它什么的(因为很多文件的digital signature的hash用的就是SHA1,故做此猜测),如果不match它预先设定的值,就从system cache里拷过来覆盖掉。如果你把文件直接拷贝到system cache,则整个文件夹里所有文件的总hash也会变,系统就会提示你插入XP的CD来恢复。所以文章里的方法在XP及以上的系统上是行不通的。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
