捐赠 | 广告 | 注册 | 发布 | 上传 | 关于我们    
  沪ICP备05001939号 DELPHI盒子 | 盒子论坛 | 盒子文章 | 盒子问答悬赏 | 最新更新 | 论坛检索 | 下载中心 | 高级搜索    
  精品专区 | 繁體中文 | 奖励公告栏 | 直通车账号登陆 | 关闭GOOGLE广告 | 临时留言    
 
广告
评论:远程注入DLL的例子
fulminate 33954 2008/4/29 17:38:22
我运行到 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); 这一句时返回为空?为什么打开进程不成功?
hke 32120 2007/12/6 19:14:20
好像很早就有了
远程线程的
基本上都被杀毒封杀光了
不过这个注释还挺详细的

VirtualFreeEx是释放内存
因为是固定地址注入 怕和原来的冲突
LoadLibraryW是宽字符
加个A LoadLibraryA也行
而且好像大部分人应该是用A 
但是不能用LoadLibrary因为没那个API 本质是LoadLibraryA

'SeDebugPrivilege'这个是提升debug权限的
能够打开系统进程句柄

远程线程
Aphex写过些简单实用的哦
我很早以前帮别的论坛写了个教程
有兴趣可以看看
http://www.wuhansen.com/soft/up/DllInject.txt
这页上NoCAD.rar(附源码)其实是个比较简单的注入代码
注入Winlogon的 当然也是有提升权限啦
http://www.wuhansen.com/soft/
boatboy 32044 2007/12/1 11:26:54
又看了一遍代码,原来是要获得LoadLibrary的入口地址,而LoadLibrary在Kernel32.dll中,是我理解错误,不过为什么要加个W呢?
另外,在取消注入的代码中,VirtualFreeEx似乎只释放了注销产生的内存,而注入产生的内存按道理应该是没被释放的。这是我的片面理解,请指教。
boatboy 32042 2007/12/1 10:31:16
pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'),'LoadLibraryW');
1、'LoadLibraryW'是哪个函数的名字?LoadLibraryW?看MSDN说是要一个Func Name。
2、为何是加载'Kernel32.dll'?不是DllFullPath吗?
LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid)
1、'SeDebugPrivilege'是什么意思?看MSDN上说这个定义在WINNT.H中,不知道还有哪些可选的指定字符串。
请指教!
leafstone 32031 2007/11/30 17:53:13
函数好像已经被各大杀毒软件盯上了~~
第一页 上一页 下一页 最后页 有 5 条纪录 共1页 1 - 5
 用户名:
 密 码:
自动登陆(30天有效)
 
  DELPHI盒子版权所有 1999-2012 V3.01 沪ICP备05001939号 更新RSS列表