摘要： 1.简介 最简单的注入, 注册表注入, 容易被发现,会被注入到所有加载user32.dll的进程中 2.代码 阅读全文

摘要： 1. APC即远程过程调用, 分为内核级和用户级,在ring3层中,使用用户级的APC即可进行注入dll 但是不能针对已有进程 2. 未完待续... 阅读全文

摘要： 1.简介 在nt6.0 内核以上,windows对系统重要进程和服务进程划分到一个会话中,该会话为会话0. 用户登陆后分配一个会话,在该用户启动的的进程将归于会话1 或者更多(多用户登陆). 此时os会对这会话0和其他会话中的进程之间的操作进行限制. 如会话1中的进程不能容易创建远程线程注入dll 阅读全文

摘要： 1. LLP64 数据模型 数据模型 short int long longlong 指针 操作系统类型 ILP32 2 4 4 8 4 win32 LLP64 2 4 4 8 8 windows 64 位 LP64 2 4 8 8 8 UNIX 64 位 2.WOW64 参考: https://m 阅读全文

摘要： . 1.简介 在代码hook中,由于频繁的进行hook和unhook,而且又加上多线程的一些不可靠的因素,会使程序执行效率降低而且可能会导致错误,即 多线程对其hook和unhook导致不稳定的可能性增加, 因此需要找一种不需要频繁进行hook和unhook的方法. 而windows的一些API提供 阅读全文

摘要： 1.简介: 对于IAT hook 方法,它只能hook掉在iat中的API,如果是通过动态加载的就不行了 因为动态加载的dll的API不在iat中,而是动态生成的. 这时可以预先加载该dll和API,并对API前几个字节进行保存然后修改成 跳转到自己的某函数中,然后进行一些操作后可以再跳回到原来的A 阅读全文

摘要： 1.简介 当程序运行后IAT表才会被系统根据pe文件的导入表等信息填充该IAT字段, 填充后的IAT的函数地址是对应模块加载后真正的函数地址,程序中对dll中 的导出函数的调用也是通过该IAT的记录来调用的.因此可以通过注入dll后, 通过dll中的代码修改IAT表的记录,来实现hook. 原来的调 阅读全文

摘要： 简介: 阅读全文

摘要： 1.简介: 代码注入和远程线程注入dll类似,但是隐蔽性更好,因为不产生文件.但是可靠性差,更加复杂 代码注入时注入的代码部分是从本进程空间复制过去的,所以不能出现依赖于本进程的数据存在. 所以注入的代码中数据,地址都是动态生成的, 因此可以考虑将这些数据作为参数传递给注入的代码. 将代码和数据都注 阅读全文

摘要： 1.原理 简单来说,LSP就是一个dll程序. 应用程序通过winsock2进行网络通信时,会调用ws2_32.dll的导出函数,如connect,accept等. 而后端通过LSP实现这些函数的底层. 简单来说就是调用winsock2提供的函数时会调用对应的LSP提供的SPI(服务提供者接口)函数 阅读全文