请问EncryptPE是如何注入到explorer.exe中的?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼 SetWindowsHookEx 2006-10-30 17:31 0
VIRVIR 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	VIRVIR 3 楼 // inject.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> #include <tlhelp32.h> int main(int argc, char* argv[]) { HANDLE hToken,hProcess; TOKEN_PRIVILEGES tp; char pSEDEBUG="SeDebugPrivilege"; hProcess=GetCurrentProcess(); OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES\|TOKEN_QUERY,&hToken); LookupPrivilegeValue(NULL,pSEDEBUG,&tp.Privileges[0].Luid); tp.PrivilegeCount=1; tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken,FALSE,&tp,NULL,NULL,NULL); DWORD pid; HANDLE hSnapshot = NULL; hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL); PROCESSENTRY32 pe; pe.dwSize = sizeof(PROCESSENTRY32); Process32First(hSnapshot,&pe); do { if(stricmp(pe.szExeFile,"winlogon.exe")==0) //....... { pid = pe.th32ProcessID; break; } } while(Process32Next(hSnapshot,&pe)==TRUE); CloseHandle (hSnapshot); //////////////////////////////////////////////////////////// // 把dll注入explorer.exe进程 // //////////////////////////////////////////////////////////// PWSTR pszLibFileRemote = NULL; HANDLE hRemoteProcess = NULL,hRemoteThread = NULL; hRemoteProcess = OpenProcess( PROCESS_QUERY_INFORMATION \| // Required by Alpha PROCESS_CREATE_THREAD \| // For CreateRemoteThread PROCESS_VM_OPERATION \| // For VirtualAllocEx/VirtualFreeEx PROCESS_VM_WRITE, // For WriteProcessMemory FALSE, pid); char CurPath[256]={0}; //strcpy(CurPath,argv[1]); //GetSystemDirectory(CurPath,256); GetCurrentDirectory(256,CurPath); lstrcat(CurPath,"\\dll1.dll"); int len = (strlen(CurPath)+1)2; WCHAR wCurPath[256]; MultiByteToWideChar(CP_ACP,0,CurPath,-1,wCurPath,256); pszLibFileRemote = (PWSTR) VirtualAllocEx(hRemoteProcess, NULL, len, MEM_COMMIT, PAGE_READWRITE); bool ret=WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) wCurPath, len, NULL); PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE) GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW"); hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0, pfnThreadRtn, pszLibFileRemote, 0, NULL); if(!hRemoteThread) MessageBox(NULL,"ERROR","",0); else MessageBox(NULL,"OK","",0); Sleep(4000); return 0; } ////////http://virvir.bolgbus.com /////414947531 2006-10-30 20:21 0
rongge 雪币： 12626 活跃值： (3122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 285 粉丝 0 关注私信	rongge 4 楼无法断在CreateRemoteThread中. 2006-11-2 08:37 0
rongge 雪币： 12626 活跃值： (3122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 285 粉丝 0 关注私信	rongge 5 楼无法断在CreateRemoteThread中.是否EncryptPE不使用该注入方法. 2006-11-2 08:37 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 6 楼看二楼的~~ 2006-11-2 08:48 0
rongge 雪币： 12626 活跃值： (3122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 285 粉丝 0 关注私信	rongge 7 楼也断不下来,不是说不用全局钩子了吗? 2006-11-2 16:21 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 8 楼 V22006以后的版本好象都是使用SetwindowshookEx来注入EPE模块的.呵呵,具体方法可以参见《核心编程》中的DLL注入方法。上面甚至有例子，同样是注入exeplorer.我怀疑老王直接从上面copy代码。哈哈。 2006-11-12 23:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼 SetWindowsHookEx 2006-10-30 17:31 0
VIRVIR 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	VIRVIR 3 楼 // inject.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> #include <tlhelp32.h> int main(int argc, char* argv[]) { HANDLE hToken,hProcess; TOKEN_PRIVILEGES tp; char pSEDEBUG="SeDebugPrivilege"; hProcess=GetCurrentProcess(); OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES\|TOKEN_QUERY,&hToken); LookupPrivilegeValue(NULL,pSEDEBUG,&tp.Privileges[0].Luid); tp.PrivilegeCount=1; tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED; AdjustTokenPrivileges(hToken,FALSE,&tp,NULL,NULL,NULL); DWORD pid; HANDLE hSnapshot = NULL; hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL); PROCESSENTRY32 pe; pe.dwSize = sizeof(PROCESSENTRY32); Process32First(hSnapshot,&pe); do { if(stricmp(pe.szExeFile,"winlogon.exe")==0) //....... { pid = pe.th32ProcessID; break; } } while(Process32Next(hSnapshot,&pe)==TRUE); CloseHandle (hSnapshot); //////////////////////////////////////////////////////////// // 把dll注入explorer.exe进程 // //////////////////////////////////////////////////////////// PWSTR pszLibFileRemote = NULL; HANDLE hRemoteProcess = NULL,hRemoteThread = NULL; hRemoteProcess = OpenProcess( PROCESS_QUERY_INFORMATION \| // Required by Alpha PROCESS_CREATE_THREAD \| // For CreateRemoteThread PROCESS_VM_OPERATION \| // For VirtualAllocEx/VirtualFreeEx PROCESS_VM_WRITE, // For WriteProcessMemory FALSE, pid); char CurPath[256]={0}; //strcpy(CurPath,argv[1]); //GetSystemDirectory(CurPath,256); GetCurrentDirectory(256,CurPath); lstrcat(CurPath,"\\dll1.dll"); int len = (strlen(CurPath)+1)2; WCHAR wCurPath[256]; MultiByteToWideChar(CP_ACP,0,CurPath,-1,wCurPath,256); pszLibFileRemote = (PWSTR) VirtualAllocEx(hRemoteProcess, NULL, len, MEM_COMMIT, PAGE_READWRITE); bool ret=WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) wCurPath, len, NULL); PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE) GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW"); hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0, pfnThreadRtn, pszLibFileRemote, 0, NULL); if(!hRemoteThread) MessageBox(NULL,"ERROR","",0); else MessageBox(NULL,"OK","",0); Sleep(4000); return 0; } ////////http://virvir.bolgbus.com /////414947531 2006-10-30 20:21 0
rongge 雪币： 12626 活跃值： (3122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 285 粉丝 0 关注私信	rongge 4 楼无法断在CreateRemoteThread中. 2006-11-2 08:37 0
rongge 雪币： 12626 活跃值： (3122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 285 粉丝 0 关注私信	rongge 5 楼无法断在CreateRemoteThread中.是否EncryptPE不使用该注入方法. 2006-11-2 08:37 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 6 楼看二楼的~~ 2006-11-2 08:48 0
rongge 雪币： 12626 活跃值： (3122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 82 回帖 285 粉丝 0 关注私信	rongge 7 楼也断不下来,不是说不用全局钩子了吗? 2006-11-2 16:21 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 8 楼 V22006以后的版本好象都是使用SetwindowshookEx来注入EPE模块的.呵呵,具体方法可以参见《核心编程》中的DLL注入方法。上面甚至有例子，同样是注入exeplorer.我怀疑老王直接从上面copy代码。哈哈。 2006-11-12 23:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复