fulminate
33954
|
2008/4/29 17:38:22 |
我运行到 hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId); 这一句时返回为空?为什么打开进程不成功? |
hke
32120
|
2007/12/6 19:14:20 |
好像很早就有了 远程线程的 基本上都被杀毒封杀光了 不过这个注释还挺详细的
VirtualFreeEx是释放内存 因为是固定地址注入 怕和原来的冲突 LoadLibraryW是宽字符 加个A LoadLibraryA也行 而且好像大部分人应该是用A 但是不能用LoadLibrary因为没那个API 本质是LoadLibraryA
'SeDebugPrivilege'这个是提升debug权限的 能够打开系统进程句柄
远程线程 Aphex写过些简单实用的哦 我很早以前帮别的论坛写了个教程 有兴趣可以看看 http://www.wuhansen.com/soft/up/DllInject.txt 这页上NoCAD.rar(附源码)其实是个比较简单的注入代码 注入Winlogon的 当然也是有提升权限啦 http://www.wuhansen.com/soft/ |
boatboy
32044
|
2007/12/1 11:26:54 |
又看了一遍代码,原来是要获得LoadLibrary的入口地址,而LoadLibrary在Kernel32.dll中,是我理解错误,不过为什么要加个W呢? 另外,在取消注入的代码中,VirtualFreeEx似乎只释放了注销产生的内存,而注入产生的内存按道理应该是没被释放的。这是我的片面理解,请指教。 |
boatboy
32042
|
2007/12/1 10:31:16 |
pfnStartAddr := GetProcAddress(LoadLibrary('Kernel32.dll'),'LoadLibraryW'); 1、'LoadLibraryW'是哪个函数的名字?LoadLibraryW?看MSDN说是要一个Func Name。 2、为何是加载'Kernel32.dll'?不是DllFullPath吗? LookupPrivilegeValue(nil, 'SeDebugPrivilege', tp.Privileges[0].Luid) 1、'SeDebugPrivilege'是什么意思?看MSDN上说这个定义在WINNT.H中,不知道还有哪些可选的指定字符串。 请指教! |
leafstone
32031
|
2007/11/30 17:53:13 |
函数好像已经被各大杀毒软件盯上了~~ |