逆的一段注入代码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

逆的一段注入代码

发表于: 2008-5-9 10:06 18103

逆的一段注入代码

softworm

2008-5-9 10:06

18103

前段时间被cnnic骚扰了一下,不爽,逆了一点驱动代码,玩rootkit的牛就不用看了.

有些东西也没搞很清楚,不瞎解释了。嵌入的Dll是我自己的,只显示MessageBox
(cdnprot.sys里的还有些处理,如自己调DllMain)。

我是用OD来试的,可以用,但对ExeCryptor主程序不能停到TLS Callback了,而是
停在壳入口点,F9报检测到debugger,没时间去深究了;-)

case IOCTL_SET_DEBUGGEE_INFO:

// 被调试进程Pid,Tid
ObjPid    = (HANDLE)*(PULONG)InputBuffer;
ObjMainTid  = (HANDLE)((PULONG)InputBuffer)[1];

Cid.UniqueProcess = ObjPid;
Cid.UniqueThread  = ObjMainTid;
InjectWithApc(&Cid);

....

[课程]FART 脱壳王！加量不加价！FART作者讲授！

#系统底层

上传的附件：

Apc.rar （4.90kb，634次下载）

收藏・12

免费・7

支持

最新回复 (19)
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 2 楼大牛的文章一定要顶 2008-5-9 10:18 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 3 楼摩拜一下偶像 2008-5-9 10:24 0
Ryosuke 雪币： 370 活跃值： (78) 能力值： ( LV9，RANK：970 ) 在线值：发帖 26 回帖 195 粉丝 3 关注私信	Ryosuke 24 4 楼来看偶像和偶像的家属。 2008-5-9 10:42 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼偶像的文章不得不看 2008-5-9 11:28 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 6 楼精彩，顶起来 2008-5-9 12:03 0
rageliu 雪币： 228 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	rageliu 3 7 楼偶像的文章不得不看 2008-5-9 12:39 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 8 楼完全不懂,只能说膜拜 2008-5-9 12:59 0
那年夏天雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	那年夏天 9 楼我同上 2008-5-9 17:08 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 10 楼 softworm所到之处，机器码都无处藏身 2008-5-12 11:16 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 11 楼这不是肯德基 2008-5-12 11:18 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 12 楼完全不懂！！哈哈。。顶下大N! 2008-5-31 00:28 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 13 楼偶像的文章不得不看 2008-5-31 14:36 0
smnk 雪币： 158 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 0 关注私信	smnk 14 楼进来拜的~~~~~ 2008-5-31 18:45 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 15 楼 CNNIC的apc inject dll,很老了，把个DLL整在SYS里头。。 2008-5-31 18:59 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 16 楼到下面就看不懂了，mb一下 2008-5-31 19:00 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 17 楼 APC是个好东西， 2008-5-31 23:10 0
qijiashe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	qijiashe 18 楼大牛无所不能能不能把大陆板块给逆一下，也好解决地震问题。。。。 2008-6-1 07:25 0
outrun 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	outrun 19 楼学习..学习.. 2008-6-1 09:31 0
dragoner 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	dragoner 20 楼不错,欣赏了 2008-6-1 23:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

softworm

发帖

1050

回帖

1210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 2 楼大牛的文章一定要顶 2008-5-9 10:18 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 3 楼摩拜一下偶像 2008-5-9 10:24 0
Ryosuke 雪币： 370 活跃值： (78) 能力值： ( LV9，RANK：970 ) 在线值：发帖 26 回帖 195 粉丝 3 关注私信	Ryosuke 24 4 楼来看偶像和偶像的家属。 2008-5-9 10:42 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼偶像的文章不得不看 2008-5-9 11:28 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 6 楼精彩，顶起来 2008-5-9 12:03 0
rageliu 雪币： 228 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 27 粉丝 0 关注私信	rageliu 3 7 楼偶像的文章不得不看 2008-5-9 12:39 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 8 楼完全不懂,只能说膜拜 2008-5-9 12:59 0
那年夏天雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	那年夏天 9 楼我同上 2008-5-9 17:08 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 10 楼 softworm所到之处，机器码都无处藏身 2008-5-12 11:16 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 11 楼这不是肯德基 2008-5-12 11:18 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 12 楼完全不懂！！哈哈。。顶下大N! 2008-5-31 00:28 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 13 楼偶像的文章不得不看 2008-5-31 14:36 0
smnk 雪币： 158 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 0 关注私信	smnk 14 楼进来拜的~~~~~ 2008-5-31 18:45 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 15 楼 CNNIC的apc inject dll,很老了，把个DLL整在SYS里头。。 2008-5-31 18:59 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 16 楼到下面就看不懂了，mb一下 2008-5-31 19:00 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 17 楼 APC是个好东西， 2008-5-31 23:10 0
qijiashe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	qijiashe 18 楼大牛无所不能能不能把大陆板块给逆一下，也好解决地震问题。。。。 2008-6-1 07:25 0
outrun 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	outrun 19 楼学习..学习.. 2008-6-1 09:31 0
dragoner 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	dragoner 20 楼不错,欣赏了 2008-6-1 23:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复