[讨论]关于dll被加载时删除dll-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]关于dll被加载时删除dll

发表于: 2009-1-11 20:07 4651

[讨论]关于dll被加载时删除dll

yulewanglu 活跃值

2009-1-11 20:07

4651

最近看到一个木马程序运行后他会设置一个全局钩子

这样的话一般的进程都会受到钩子的影响加载这个dll

奇怪的是这个dll居然可以在安装钩子后删除掉

删除了以后用工具查看进程模块居然能发现这个dll的路径

不知道这个程序是怎么做到的

dll在运行中应该是不能删除的

但是他这个被很多进程都加载的dll里面还有钩子回调函数在使用

怎么能删除掉呢

有什么方法可以做到？？难道他装载dll后 dll里会申请内存把自己的代码复制过去然后再卸载自己？那怎么做到的？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (1)
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 2 楼未必是删除了，也可以移动。若是申请内存复制代码都那种，似乎是看不到路径的。例如ByShell。 2009-1-11 20:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yulewanglu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 2 楼未必是删除了，也可以移动。若是申请内存复制代码都那种，似乎是看不到路径的。例如ByShell。 2009-1-11 20:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]关于dll被加载时 删除dll

[讨论]关于dll被加载时删除dll