文件名称:HACK编程实例精讲
文件大小:1.44MB
文件格式:RAR
更新时间:2015-06-24 12:00:24
HACK
在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。 因为CreateRemoteThread的使用方法并不复杂,而且与其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。 最近在自己的毕业设计中也要用到这个功能,阻止一些简单地调用CreateRemoteThread注入到我们要保护的进程中,就对这个问题稍微学习了下。 根据我们的思维惯性,很显然我们应该HOOK CreateRemoteProcess函数,这在ring3下非常容易实现,但是如果这样的话我们的保护也太没有强度可言了。正好最近正在学习SSDT HOOK,就使用这个方法吧,算是在实战中磨炼自己,吼吼~~