首页
社区
课程
招聘
[原创]一种注入进程,获得完全操控的方法之一
发表于: 2007-12-5 17:26 38546

[原创]一种注入进程,获得完全操控的方法之一

2007-12-5 17:26
38546

好长时间没贴东西了,今天就来贴点东西,废话就不说了直接进入主题,喜欢的就支持,不喜欢的就看乐和!!
        今天说点什么呢~我们今天就说HOOK,实际提到这个大家都知道它的功用,如果要是抓取消息那肯定是用下面的函数:
//----------------------------------------------------------------------
::SetWindowsHookA(int nFilterType,HOOKPROC pfnFilterProc);
::CallNextHookEx(HHOOK hhk,int Code,WPARAM wParam,LPARAM lParam);
::UnhookWindowsHook(int nCode,HOOKPROC pfnFilterProc);

//它们的参数我就不说了,实在是太多了!!
//---------------------------------------------------------------------------

        今天我就给大家说一种别的方法来抓取WINDOWS消息的方法,这种方法虽然有点局限性,但是我感觉很不错的哦!用我

的方法,可以抓取一个进程中的所有窗口的消息。不信就跟我一体来试试,如果看不太明白,那只好去学学相关知识了。我们

选择的方法就是HOOK API的方法。很多朋友都说网络上流传的HOOK API的很多,但是我碰到的都是HOOK那个MessageBoxA函数,

没什么意思,今天我就给大家一个全能的方法,我们不用了解太多PE结构,非要在IAT表中修改,我们先来看看我们要处理的

API为:

/*------------------------------------------------------------------------------------
函数原型:LRESULT CallWindowProc(WNDPROC lpPrevWndFunc,HWND hWnd.UINT Msg,WPARAM wParam,LPARAM IParam);
    参数:
    lpPrevWndFunc:指向前一个窗口过程的指针。如果该值是通过调用GetWindowLong函数,并将该函数中的nlndex参数设为

GWL_WNDPROC或DWL_DLGPROC而得到的,那么它实际上要么是窗口或者对话框的地址,要么就是代表该地址的句柄。
    hWnd:指向接收消息的窗口过程的句柄。
    Msg:指定消息类型。
    wParam:指定其余的、消息特定的信息。该参数的内容与Msg参数值有关。
    IParam:指定其余的、消息特定的信息。该参数的内容与Msg参数值有关。
    返回值:返回值指定了消息处理结果,它与发送的消息有关

-----------------------------------------------------------------------------------*/

我想一般对这个函数,比较陌生点,用的人就不多了,就像我有时用ntdll.dll中LdrGetDllHandle这类函数一样。因为它的功

能很多时候都不用知道的:)。

        我们为了能抓到消息,而且不用HOOK这类API函数,我们要在这个函数上做手脚,或许可以对DefWindowProc()这个函

数也做手脚,但是我想我要一个就可以了呵呵!因为我这里举例是用自定义消息为例子的,为什么要用自定义消息呢!我还想

说明一点问题就是远程注入进程。

        实际对于一个进程来讲,只要给它放个DLL那么它就不得不听你的了,我们可以给这个DLL发送一些命令,让它按照命

令来操作我们的目标进程。有的时候我就特别的喜欢‘该死’,他做的系统就给我们一个空间,也就是0x400-0x7FF是为用户自

定义的消息,我们就可以用如下的方法来设置命令:
#define WM_CMD_EXIT        WM_USER+100   //退出进程
#define WM_CMD_GETHWND  WM_USER+101   //获取HWND句柄
#define WM_CMD_GETCAPTION WM_USER+102 //获取窗口名称

……等等,我们还可以调用进程的内部函数,让进程做我们想让它做的。实际就举个例子来将,发给命令过去,让QQ不断显示

广告,或定时显示广告,我们几乎就完全操作了进程了。如果没道德,想抓取别人的隐私,那也是顺手而已。可是我在发这篇

贴的时候,还是想过是否要发,因为我觉得我手里的东西就是把双刃剑,能杀这边,也能杀那边。希望学会的朋友都不要把它

用于搞破坏上。

注入进程的方法太多了,我就不说了,我把它写了一个类,大家就可以拿去直接用了。

//注意的是,路径是绝对路径,才能给其它进程注入。
//----------------------------------------------------------------------------
// RemoteShell.h: interface for the CRemoteShell class.
//
//////////////////////////////////////////////////////////////////////

#if !defined(AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_)
#define AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_

#if _MSC_VER > 1000
#pragma once
#endif // _MSC_VER > 1000

#include "tlhelp32.h"
#pragma comment(lib,"th32.lib")

class CRemoteShell  
{
public:
        CRemoteShell();
        virtual ~CRemoteShell();
public:
public:
        CString          m_dllPath;

        DWORD            pId;
        DWORD            dwSize;
        LPVOID           pDll;
        HANDLE                         hDll;
        HANDLE           hToken;
        HANDLE           hProcess;
    LUID             Luid;
        TOKEN_PRIVILEGES tp;

public:
        int    Release(DWORD procId=NULL);
        int    Load(LPCTSTR dllpath,DWORD pId=NULL); //进程注入
        int    Load(LPCTSTR dllpath,HWND hWnd);      //窗口注入
        HANDLE GetDllHandle(LPCTSTR path,DWORD pid);
};

#endif // !defined(AFX_REMOTESHELL_H__6242FFA8_B8E3_4F9A_BE7D_197F76A78D03__INCLUDED_)

//-------------------------------------------------------------------------------------------
// RemoteShell.cpp: implementation of the CRemoteShell class.
//
//////////////////////////////////////////////////////////////////////

#include "stdafx.h"
#include "注入程序.h"
#include "RemoteShell.h"

#ifdef _DEBUG
#undef THIS_FILE
static char THIS_FILE[]=__FILE__;
#define new DEBUG_NEW
#endif

//////////////////////////////////////////////////////////////////////
// Construction/Destruction
//////////////////////////////////////////////////////////////////////

CRemoteShell::CRemoteShell()
{
        hToken  =NULL;
        hProcess=NULL;
        memset(&tp,0,sizeof(TOKEN_PRIVILEGES));

        //取得句柄的令牌:
    if (!OpenProcessToken(GetCurrentProcess(), //是要修改访问权限的进程句柄
                TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,   //指定你所需要的操作类型
                &hToken))                              //是返回的访问令牌指针
    {
          return ;
    }
   
        //获取权限的LUID值:
        if (!LookupPrivilegeValue(NULL,           //系统的名称,如果是本地系统只要指明为NULL就可以了
                SE_DEBUG_NAME,                        //指明了权限的名称
                &Luid))                               //返回LUID的指针
    {
          return ;
    }

    tp.PrivilegeCount = 1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    tp.Privileges[0].Luid = Luid;
   
        //访问令牌进行修改:
        if (!AdjustTokenPrivileges(hToken,        //访问令牌的句柄
                0,                                    //决定是进行权限修改还是除能(Disable)所有权限
                &tp,                                  //指明要修改的权限,指向TOKEN_PRIVILEGES结构的指针,该结构

包含一个数组,数据组的每个项指明了权限的类型和要进行的操作
                sizeof(TOKEN_PRIVILEGES),             //是结构PreviousState的长度,如果PreviousState为空,该参

数应为NULL
                NULL,                                 //参数也是一个指向TOKEN_PRIVILEGES结构的指针,存放修改前

的访问权限的信息,可空
                NULL))                                //实际PreviousState结构返回的大小
    {
          return ;
    }
}

CRemoteShell::~CRemoteShell()
{
        if(hToken!=NULL){::CloseHandle(hToken);}
        if(hProcess!=NULL){::CloseHandle(hProcess);}
}

//注入给指定进程:
int CRemoteShell::Load(LPCTSTR dllpath,DWORD pId)
{
        hProcess   =NULL;
        pDll       =NULL;
        m_dllPath  =dllpath;

        //如果指定进程ID为NULL,就注入给自己.
        if(pId==NULL){pId=::GetCurrentProcessId();}

        //打开进程:
        hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
        if(hProcess==NULL){return -20;}
       
        //分配内存:
    pDll=::VirtualAllocEx(hProcess,NULL,strlen(dllpath),MEM_COMMIT,PAGE_READWRITE);
        if(pDll==NULL){return -21;}

        //注入DLL:
    BOOL bRe=::WriteProcessMemory(hProcess,pDll,(void*)dllpath,strlen(dllpath),NULL);
        if(bRe==FALSE){return -22;}

        //获取LoadLibraryA函数地址:
    FARPROC pLoadDll=GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");
        if(pLoadDll==NULL){return -23;}

        //创建线程:
    HANDLE hRemote=CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pLoadDll,pDll,NULL,0);
        //等待线程结束:
        ::WaitForSingleObject(hRemote,INFINITE);

        if(hRemote!=NULL){::CloseHandle(hRemote);}
        if(hProcess!=NULL){::CloseHandle(hProcess);}
        return 0;
}

//注入给指定程序句柄的进程:
int CRemoteShell::Load(LPCTSTR dllpath,HWND hWnd)
{
        hProcess   =NULL;
        pDll       =NULL;
        pId        =NULL;
        m_dllPath  =dllpath;

        if(hWnd!=NULL){::GetWindowThreadProcessId(hWnd,&pId);}

        //如果指定进程ID为NULL,就注入给自己.
        if(pId==NULL){pId=::GetCurrentProcessId();}

        //打开进程:
        hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
        if(hProcess==NULL){return -20;}
       
        //分配内存:
    pDll=::VirtualAllocEx(hProcess,NULL,strlen(dllpath),MEM_COMMIT,PAGE_READWRITE);
        if(pDll==NULL){return -21;}

        //注入DLL:
    BOOL bRe=::WriteProcessMemory(hProcess,pDll,(void*)dllpath,strlen(dllpath),NULL);
        if(bRe==FALSE){return -22;}

        //获取LoadLibraryA函数地址:
    FARPROC pLoadDll=::GetProcAddress(::GetModuleHandle("kernel32.dll"),"LoadLibraryA");
        if(pLoadDll==NULL){return -23;}

        //创建线程:
        HANDLE hRemote=CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pLoadDll,pDll,NULL,0);

        //等待线程结束:
        ::WaitForSingleObject(hRemote,INFINITE);

        hDll=GetDllHandle(dllpath,pId);
        if(hRemote!=NULL){::CloseHandle(hRemote);}
        if(hProcess!=NULL){::CloseHandle(hProcess);}
        return 0;
}

int CRemoteShell::Release(DWORD procId)
{
        DWORD id=NULL;
       
        if(hDll==NULL){return -1;}
        if(pId!=NULL){id=pId;}
        if(procId!=NULL){id=procId;}

        if(id!=NULL){

        //打开进程:
        hProcess=::OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_WRITE|PROCESS_VM_OPERATION,1,pId);
        if(hProcess==NULL){return -20;}

        //FARPROC pGetDllHandle=GetProcAddress(GetModuleHandle("ntdll.dll"),"LdrGetDllHandle");

        //获取FreeLibraryA函数地址:
    FARPROC pFreeDll=GetProcAddress(GetModuleHandle("kernel32.dll"),"FreeLibrary");
        if(pFreeDll==NULL){return -23;}

        //创建线程:
    HANDLE hRemote=::CreateRemoteThread(hProcess,NULL,0,
                                                                         (LPTHREAD_START_ROUTINE)

pFreeDll,hDll,NULL,0);
        //等待线程结束:
        ::WaitForSingleObject(hRemote,INFINITE);

        ::VirtualFreeEx(hProcess,pDll,0,MEM_RELEASE);
        if(hRemote!=NULL){::CloseHandle(hRemote);}
        if(hProcess!=NULL){::CloseHandle(hProcess);}
        }else{AfxMessageBox("进程号为空!无法释放!");}
       
        return 0;
}

HANDLE CRemoteShell::GetDllHandle(LPCTSTR path,DWORD pid)
{
        if(pid==NULL){pid=::GetCurrentProcessId();}
       
        //打开进程:
        int num=0;
        BOOL   bRe=FALSE;
        HANDLE hModule=NULL;
            MODULEENTRY32* minfo=NULL;
            minfo=new MODULEENTRY32;

        if(NULL!=pid)
    {
                hModule=CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,pid);

                bRe=Module32First(hModule, minfo);
                for(;bRe!=0;num++)
                {
                        if(lstrcmp(minfo->szExePath,path)==0||lstrcmp(minfo->szModule,path)==0)
                        {return minfo->modBaseAddr;}
                        bRe=::Module32Next(hModule,minfo);
                }

    }
            if(minfo!=NULL){delete minfo;}
        ::CloseHandle(hModule);
        return NULL;
}

//----------------------------------------------------------------------------------------------

我们用上面的类就可以轻松的把一个DLL注入到别的进程,并且还可以轻松的释放。做到不知不觉。
话归前题,我们要怎么样才能对CallWindowProc这个API做手脚了。我们可以看到这个函数的入口地方很简单:

//-------------------------------------------------------------
77D1E8EA >  8BFF            mov     edi, edi
77D1E8EC    55              push    ebp
77D1E8ED    8BEC            mov     ebp, esp
77D1E8EF    6A 01           push    1                                ;只是和前面不一样多了个参数1
77D1E8F1    FF75 18         push    dword ptr [ebp+18]
77D1E8F4    FF75 14         push    dword ptr [ebp+14]
77D1E8F7    FF75 10         push    dword ptr [ebp+10]
77D1E8FA    FF75 0C         push    dword ptr [ebp+C]
77D1E8FD    FF75 08         push    dword ptr [ebp+8]
77D1E900    E8 E9DCFFFF     call    77D1C5EE
77D1E905    5D              pop     ebp
77D1E906    C2 1400         retn    14

//-----------------------------------------------------------------------

我们定义了一个函数类型:
typedef  LRESULT (*CALLPROC)(WNDPROC,HWND,UINT,WPARAM,LPARAM,int);
这样我们就可以轻松的调用这个函数了。
我们只需要把:
77D1E900    E8 E9DCFFFF     call    77D1C5EE
改为我们自己的就可以了。

分析好以后,我们就在我们准备好的DLL中加入我们代替它的回调函数:
//----------------------------------------------------------------------------------------------------
LRESULT CALLBACK pnCallWindowProc(IN WNDPROC lpPrevWndFunc,
                                  IN HWND hWnd,IN UINT Msg,
                                  IN WPARAM wParam,IN LPARAM lParam,IN int unk)
{
        switch(Msg)
        {
        case WM_CMD_EXIT:
                {       //这里是我们自己定义给进程的命令,也就是自定义消息:
                        AfxMessageBox("获取到命令");return TRUE;
                }
        default:{break;}
        }
        //返回到原来的地址:
        return lpSrcCallProc(lpPrevWndFunc,hWnd,Msg,wParam,lParam,unk);
}
//-------------------------------------------------------------------------------------------------------

我们在DLL加载时,把上面那个地方改掉就可以了。

//----------------------------------------------------------------------------------------------
void CMyRemoteDllApp::SetHookApiCallBack()
{
        //获取回调函数地址:
        hModule=::GetModuleHandle("User32.dll");
        FARPROC  fpCallWindowProc=::GetProcAddress(hModule,"CallWindowProcA");

        //这里需要做说明了,最好大家不要用虚拟绝对地址,建议用虚拟相对地址,这样即使user32.dll的版本不一样
        //也不会影响到我们的DLL,我这里都是通过计算得到的。
        //声明结构对象,为了方便修改,我写了个结构来处理:
        _ASM_CALL _call;
        _call._01cmd =0xE8;
        DWORD dword=(DWORD)&pnCallWindowProc-((DWORD)fpCallWindowProc+0x16)-5;
        memcpy((PDWORD)_call._02dat,&dword,4);

        //获取当前内存块的保护类型,由于是系统DLL只给R的权限,我们必须把R改成RW才能把我们的函数替换进去:
        MEMORY_BASIC_INFORMATION _base;
        ::VirtualQuery((LPVOID)((DWORD)hModule+0x1000),&_base,sizeof(MEMORY_BASIC_INFORMATION));
       
        //保存原始入口地址,我们处理的是自定义消息,我们不需要处理全部,所以其他的都转给原来的地址:
        //做到这里就想起病毒~~~,所以再三请大家不要用于它途
        lpSrcCallProc=(CALLPROC)(*(PDWORD)((DWORD)fpCallWindowProc+0x17));
        lpSrcCallProc=(CALLPROC)((DWORD)fpCallWindowProc+0x16+(DWORD)lpSrcCallProc+5);
       
        //处理为读写类型:
        ::VirtualProtect(_base.BaseAddress,_base.RegionSize,PAGE_READWRITE,&_base.Protect);
        memcpy((LPVOID)((DWORD)fpCallWindowProc+0x16),&_call,5);

        //处理完成后,恢复保护类型:
        DWORD dwProctect=NULL;
        ::VirtualProtect(_base.BaseAddress,_base.RegionSize,_base.Protect,&dwProctect);

}

//-------------------------------------------------------------------------------------------------------

只加载不算完啊,我们要在DLL退出前把它再改回来的,要不程序会不正常的。

//-----------------------------------------------------------------------------------------
int CMyRemoteDllApp::ExitInstance()
{
        // TODO: Add your specialized code here and/or call the base class
       
        //获取回调函数地址:
        hModule=::GetModuleHandle("User32.dll");
        FARPROC  fpCallWindowProc=::GetProcAddress(hModule,"CallWindowProcA");

        //获取当前内存块的保护类型:
        MEMORY_BASIC_INFORMATION _base;
        ::VirtualQuery((LPVOID)((DWORD)hModule+0x1000),&_base,sizeof(MEMORY_BASIC_INFORMATION));
               
        DWORD dword=(DWORD)lpSrcCallProc-((DWORD)fpCallWindowProc+0x16)-5;

        //声明结构对象:
        _ASM_CALL _call;
        _call._01cmd =0xE8;
        memcpy((PDWORD)_call._02dat,&dword,4);

        //处理为读写类型:
        ::VirtualProtect(_base.BaseAddress,_base.RegionSize,PAGE_READWRITE,&_base.Protect);
        memcpy((LPVOID)((DWORD)fpCallWindowProc+0x16),&_call,5);

        //处理完成后,恢复保护类型:
        DWORD dwProctect=NULL;
        ::VirtualProtect(_base.BaseAddress,_base.RegionSize,_base.Protect,&dwProctect);

        return CWinApp::ExitInstance();
}
//-----------------------------------------------------------------------------------------
        在回调函数前必须加 CALLBACK,请大家要注意了,因为加与不加在汇编语言里是完全不一样的:
//加了的:
//---------------------------------------------------------------------------------------------
1000129C    55              push    ebp
1000129D    8BEC            mov     ebp, esp
1000129F    51              push    ecx
100012A0    8B45 10         mov     eax, dword ptr [ebp+10]
100012A3    8945 FC         mov     dword ptr [ebp-4], eax
100012A6    817D FC 6404000>cmp     dword ptr [ebp-4], 464
100012AD    74 02           je      short 100012B1
100012AF    EB 15           jmp     short 100012C6
100012B1    6A 00           push    0
100012B3    6A 00           push    0
100012B5    68 64300010     push    10003064
100012BA    E8 A7010000     call    10001466                         ; jmp 到 MFC42.#1200
100012BF    B8 01000000     mov     eax, 1
100012C4    EB 21           jmp     short 100012E7
100012C6    8B4D 1C         mov     ecx, dword ptr [ebp+1C]
100012C9    51              push    ecx
100012CA    8B55 18         mov     edx, dword ptr [ebp+18]
100012CD    52              push    edx
100012CE    8B45 14         mov     eax, dword ptr [ebp+14]
100012D1    50              push    eax
100012D2    8B4D 10         mov     ecx, dword ptr [ebp+10]
100012D5    51              push    ecx
100012D6    8B55 0C         mov     edx, dword ptr [ebp+C]
100012D9    52              push    edx
100012DA    8B45 08         mov     eax, dword ptr [ebp+8]
100012DD    50              push    eax
100012DE    FF15 D4310010   call    dword ptr [100031D4]             ; USER32.77D1C5EE
100012E4    83C4 18         add     esp, 18
100012E7    8BE5            mov     esp, ebp
100012E9    5D              pop     ebp
100012EA    C2 1800         retn    18
//---------------------------------------------------------------------------------------------
没加的,类似如下,没加会在堆栈溢出,必须手动修改ESP,才能正常:
//-------------------------------------------------------------------------------------------------
100017A1    55              push    ebp
100017A2    8BEC            mov     ebp, esp
100017A4    53              push    ebx
……
10001831    8945 0C         mov     dword ptr [ebp+C], eax
10001834    8B45 0C         mov     eax, dword ptr [ebp+C]
10001837    5F              pop     edi
10001838    5E              pop     esi
10001839    5B              pop     ebx
1000183A    5D              pop     ebp
1000183B    C2 0C00         retn    0C

//--------------------------------------------------------------------------------------------------

再需要说明一下:
Call 地址不是实际地址是要算的哦
目的地址-当前地址-5
就是CALL 的值,这个是个简单点的公式!!!大家用的着哦!

如果,大家要是在,DLL中加入了窃取信息的代码,那么它就是个木马了,只要发个消息它就工作,或者设定在收到某个消息后才工作,我想要比那些网上的木马高明点,但是我还希望大家不要这么做,因为,这样做的后果是可怜的哦:)。还有就是不要拿系统进程做实验,容易死机eek:

好了,到现在我们所做的就完工了,还算是基本完美吧!大家发给消息给被注入进程,可以看到有如下图的提示:
以后,再给大家说,怎么调用进程内部函数,这一篇就算结束了886~~~

看到大家对我的代码提出了很好的意见,我很感谢!我粗略的看了看,改的地方比较多,我不做了,大家自己做的时候要注意了,用完HANDLE别忘记CloseHandle,这个习惯我正在改..大家有这个习惯的也注意了哦~~~程序的稳定,很重要的点滴..最近比较烦:(...

                                                -By EasyStudy For PhantomNet


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (57)
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
不错,但现在的杀软的主动防御都会对这些API进行监控,要注入受保护的软件进程恐怕不行。
2007-12-6 10:14
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
首先突破主动防御,unhook 杀软ssdt
2007-12-6 10:53
0
雪    币: 1657
活跃值: (291)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
4
看到2楼的回复,我也之前没试过,我只试过explorer.exe会卡掉。
说真的,刚才兴趣小试了一下,我这里最新的瑞星个人放火墙是完全可以的。
我想一般会监控输入表地址的正确性,不会检测函数的正确性。
再次声明,如果想拿去做木马或病毒的人,都别看~~~~~~~~~~~~这里贴出来是和大家探讨!学习而已!
2007-12-6 11:03
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
5
学习~~~~
2007-12-6 12:58
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
menting好牛哇。。。。
  收藏ing。。。
2007-12-6 13:24
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
7
卡巴是任何跨进程操作相关的API都会有反应,包括最猥琐的SetThreadContext
你的注入代码,卡巴至少要弹两次框,一次是CreateRemoteThread一次是WriteProcessMemory

目前我知道的,在R3环境,可用的方法就只有DLL注入(非SetWindowsHook)
2007-12-6 14:06
0
雪    币: 150
活跃值: (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
支持,学习学习一下哈!
2007-12-6 20:40
0
雪    币: 405
活跃值: (10)
能力值: ( LV9,RANK:1130 )
在线值:
发帖
回帖
粉丝
9
2007-12-6 23:37
0
雪    币: 1324
活跃值: (5179)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
收藏ing。。。
2007-12-7 06:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
认真学习,继续关注
2007-12-7 09:00
0
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
12
嗯,不错的办法.学习
2007-12-7 13:37
0
雪    币: 264
活跃值: (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
学习....
2007-12-7 13:38
0
雪    币: 1657
活跃值: (291)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
14
调用的时候我会想法子,不让卡巴发现哈!比如,我从API的中途调用,API的头和尾我自己来写,毕竟,卡巴不可能将ntdll.dll中的所有跨进程操作的API的挂掉,实际,能做到这个方法有很多~~~~~除非,卡巴对所有API的所有代码都监视,那样我就无语了~~~
2007-12-7 16:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
楼主强啊,严重学习中......
2007-12-7 17:31
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
好文,学习了。
2007-12-8 10:59
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
能不能把例子程序共享出来呀
2007-12-10 13:14
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
楼主是想说用inline hook过kav么
现在ring3还想过卡巴就走注册表吧,你中间调用api的话,终归还是会被ssdt hook拦截到的,总不会连ntoskrnl的函数楼主都自己写吧
2007-12-11 11:19
0
雪    币: 1919
活跃值: (901)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
19
学习哈~~~~
2007-12-11 12:14
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
有没有屏蔽数据的。
2007-12-12 09:58
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
21
弹n次框也不猥琐吧?据我所知最猥琐的是等卡巴弹框的时候木马以迅雷不及掩耳之势点了确定按钮。
2007-12-12 10:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
收藏ing。。。
2007-12-12 14:59
0
雪    币: 1657
活跃值: (291)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
23
实际真的要这么做~~那就很容易了,毕竟这样的代码不算什么高明~~~~~
我也不想无聊的拿卡巴去做实验,只希望大家能够学习一哈~~~共同探讨一下~~~
2007-12-12 15:36
0
雪    币: 125
活跃值: (35)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
24
DLL注入???现在一般的RING3注入都是走的DLL注入,高手例外,重定位太难写了。
莫非笨笨熊说的是trojan方式注入DLL......够邪恶
2007-12-15 11:23
0
雪    币: 125
活跃值: (35)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
25
注册表好像也不行了,K7之后就不行了,或许只是我没有而已...哎
2007-12-15 11:26
0
游客
登录 | 注册 方可回帖
返回
//