-
-
逆的一段注入代码
-
发表于:
2008-5-9 10:06
18106
-
前段时间被cnnic骚扰了一下,不爽,逆了一点驱动代码,玩rootkit的牛就不用看了.
有些东西也没搞很清楚,不瞎解释了。嵌入的Dll是我自己的,只显示MessageBox
(cdnprot.sys里的还有些处理,如自己调DllMain)。
我是用OD来试的,可以用,但对ExeCryptor主程序不能停到TLS Callback了,而是
停在壳入口点,F9报检测到debugger,没时间去深究了;-)
case IOCTL_SET_DEBUGGEE_INFO:
// 被调试进程Pid,Tid
ObjPid = (HANDLE)*(PULONG)InputBuffer;
ObjMainTid = (HANDLE)((PULONG)InputBuffer)[1];
Cid.UniqueProcess = ObjPid;
Cid.UniqueThread = ObjMainTid;
InjectWithApc(&Cid);
....
[课程]Android-CTF解题方法汇总!