一个注入的老方法 【ZwMapViewOfSection】

对不起,我又挫B了,居然连这个方法都不知道。

转载一下:

http://blog.w4kfu.com/tag/duqu

 

 

还有好多要学的东西啊! 路漫漫其修远兮~

 

样本里的一些东西:

ZwQueryInformationProcess ProcessDebugPort 查看是否被调试
ZwSetInformationThread ThreadInformationClass 0x11 是否被调试


GetShellWindow
GetWindowThreadProcessId 拿到explorer进程ID

posted @ 2013-03-15 16:26  Kevin!=NULL  阅读(1742)  评论(0编辑  收藏  举报