ring3程序注入技術講解
在我的學習過程中,寫出我所了解的三種技術,貼點理論的東西,方便以後理解。大牛勿噴
第一種:遠端執行緒插入技術
將要實現的功能程式做成乙個執行緒,並將次執行緒在執行時自動插入到常見的程序中,比如explorer.exe。不過這個技術好像有點複雜,複雜在什麼地方呢?就是在程序中定址容易出現問題,必須要進行抵制重定位。然後儲存函式和變數的位址,插入到目標程序,需要對目標程序重新進行記憶體分配。這種方法適合功能簡單的後門程式,這樣重定位比較方便,而且不那麼容易出錯。
第二種:動態鏈結庫(dll)插入技術
將後門程式做成乙個動態連線檔案,使用執行緒插入技術獎動態庫插入到目標程序中,載入庫中的函式到目標程序。這個技術的關鍵在於寫出高質量的dll,另外還需要乙個載體(loader),也可以是explorer.exe。大部分載體都是系統開機啟動項啦!
第三種:hooking api
對api函式的完全修改。這裡的修改不是找到這個api的原始碼進行修改,而是修改api的入口位址,修改開始的5個位元組為跳轉指令或者修改iat(匯入表,iomport address table)使別的程式在呼叫這個函式式,首先轉向我們的程式。從列表中將自己的程序資訊去掉,就可以到達程序隱藏了。
以上就是常見的程序注入基本方法。不過知易行難,要多去看看人家的源**,多學習學習!
Ring3掛起程序,跟恢復程序
目錄有時候我們做對抗的時候可能會遇到.乙個程序常常操作我們.但是我們 可以通過掛起程序來掛起它讓它無法操作.當然方法很多.不止這一種.原理 原理就是掛起所有執行緒,我們可以呼叫ntdll中低層的函式還掛起程序.nt 函式 ntsuspendprocessntresumeprocess第乙個是掛起程序...
乙個簡單的程序 跳到ring3
typedef unsigned int u32 typedef unsigned short u16 typedef unsigned char u8 typedef struct descriptor 8 a?descriptor void set gdt desc struct desc st...
ring3下利用WMI監視程序建立 vc版
include stdafx.h define win32 dcom include using namespace std include include pragma comment lib,wbemuuid.lib int main int argc,char argv iwbemlocato...