随笔-60  评论-262  文章-1  trackbacks-0
http://blog.tinybrowser.net/archives/926

posted on 2008-06-21 22:24 free2000fly 阅读(3697) 评论(11)  编辑 收藏 引用

评论:
# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-22 09:30 | 饭中淹
方法很妙
不过查找地址这个方法,我觉得可以稍微替换下。

以前,我做远程注入的时候,都是把API的地址做成一个结构体,通过WriteProcessMemory写到远程进程里。
在远程线程直接使用,或者对于不是kernel32的api进行初始化。

  回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-22 09:37 | free2000fly
@饭中淹
能详细一点吗,哥们
  回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-22 09:51 | free2000fly
@饭中淹
明白了, 将所有用到的地址组织成一个数组, 直接写到目标进程, 远程线程通过查表调用需要的 API. 本质相同, 但对于要调用 kernel32.dll 以外的函数在初始化时有重要意义. 但我没有调用那, 远程代码尽量保持小巧.
  回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-22 22:57 | 影视剧
很厉害的一个程序  回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-24 19:54 | guest
Sleep(x)
是干嘛用的..  回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-06-24 21:17 | free2000fly
@guest
等一小会, 让注入代码的进程退出以后, 才执行下面的删除操作, 不然十之八九会失败.
  回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-07-01 12:33 | lll
什么玩意?有什么用啊?  回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. [未登录] 2008-07-01 13:49 | free2000fly
@lll
什么玩意?你说什么玩意?  回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-07-09 08:52 | wwwww
现在远程线程会被杀毒报危险操作,会给用户不好的感觉  回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. [未登录] 2008-07-09 14:27 | free2000fly
@wwwww
有道理, 但好歹这是公开的合法的 API, 是受操作系统支持的.   回复  更多评论
  
# re: 也写了一个自删除程序, 采用远程线程注入技术. 2008-09-20 17:37 | vfdff
代码好长,厉害  回复  更多评论
  

只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理