也写了一个自删除程序, 采用远程线程注入技术. - free2000fly 的自留地

随笔-60 评论-262 文章-1 trackbacks-0

posted on 2008-06-21 22:24 free2000fly 阅读(3691) 评论(11) 编辑收藏引用

评论:

# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-22 09:30 | 饭中淹

方法很妙
不过查找地址这个方法，我觉得可以稍微替换下。

以前，我做远程注入的时候，都是把ＡＰＩ的地址做成一个结构体，通过ＷｒｉｔｅＰｒｏｃｅｓｓＭｅｍｏｒｙ写到远程进程里。
在远程线程直接使用，或者对于不是ｋｅｒｎｅｌ３２的ａｐｉ进行初始化。

回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-22 09:37 | free2000fly

@饭中淹
能详细一点吗,哥们
回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-22 09:51 | free2000fly

@饭中淹
明白了, 将所有用到的地址组织成一个数组, 直接写到目标进程, 远程线程通过查表调用需要的 API. 本质相同, 但对于要调用 kernel32.dll 以外的函数在初始化时有重要意义. 但我没有调用那, 远程代码尽量保持小巧.
回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-22 22:57 | 影视剧

很厉害的一个程序回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-24 19:54 | guest

Sleep(x)
是干嘛用的.. 回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-24 21:17 | free2000fly

@guest
等一小会, 让注入代码的进程退出以后, 才执行下面的删除操作, 不然十之八九会失败.
回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-07-01 12:33 | lll

什么玩意？有什么用啊？回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. [未登录] 2008-07-01 13:49 | free2000fly

@lll
什么玩意？你说什么玩意? 回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-07-09 08:52 | wwwww

现在远程线程会被杀毒报危险操作，会给用户不好的感觉回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. [未登录] 2008-07-09 14:27 | free2000fly

@wwwww
有道理, 但好歹这是公开的合法的 API, 是受操作系统支持的. 回复更多评论

# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-09-20 17:37 | vfdff

代码好长，厉害回复更多评论

只有注册用户登录后才能发表评论。




网站导航: 博客园 IT新闻 BlogJava 知识库博问管理

随笔档案