社区
进程/线程/DLL
帖子详情
如何发现有进程注入的情况?
Dream_lover
2009-08-18 11:32:06
一般我在用对战平台(比如浩方、qq等)启动游戏时,卡巴都会提示有进程注入,提醒我是否同意。
我比较好奇的是 卡巴是怎么监控到这个信息的? 通过监控 openprocess 函数?
高手如果清楚,请进来指点一下,多谢。
...全文
292
28
打赏
收藏
如何发现有进程注入的情况?
一般我在用对战平台(比如浩方、qq等)启动游戏时,卡巴都会提示有进程注入,提醒我是否同意。 我比较好奇的是 卡巴是怎么监控到这个信息的? 通过监控 openprocess 函数? 高手如果清楚,请进来指点一下,多谢。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
28 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
dcrr64
2010-01-21
打赏
举报
回复
ZwCreateThread
Dream_lover
2009-09-04
打赏
举报
回复
只是技术上的讨论,希望楼上的高人们不要伤和气,结贴先。
IORI915189
2009-08-28
打赏
举报
回复
你说R3可以还原SSDT 这和R3写内核空间有区别么 。。晕
好了 R0也好 R3也好 你怎么想 与我无关
MoXiaoRab
2009-08-27
打赏
举报
回复
我发现你纯属没事找事,捏造一些傻到底的鸟话,然后强行加到我的身上。
自己理解有问题,别乱抽风
MoXiaoRab
2009-08-27
打赏
举报
回复
LS又错了,我没说
只有用了驱动才算Ring0
,你不要乱改。
中断门一样可以进Ring0,我以前经常用调用门进Ring 0。
还有,我有说过“Ring3能读写Ring0空间”吗?我只说Ring3下可以恢复SSDT Hook。你把眼睛睁大点好吧?你这不是吃饱了撑的么?
IORI915189
2009-08-27
打赏
举报
回复
[Quote=引用 21 楼 tr0j4n 的回复:]
引用 19 楼 coding_hello 的回复:
从用户态还原SSDT是完全没有问题的。Mark早就提出过这个概念,并且有成熟的技术了。
简单说就是通过用户态的应用程序对\device\physicalmempry的读写操作来实现对内核物理内存数据的修改。所有的程序都在Ring3完成,不必写Ring0的驱动。
正解。
你不信Google下 Ring3下恢复SSDT 代码一堆一堆的。
[/Quote]
如果你认为只有用了驱动才算是R0 我也不想说什么了
上面已经说过了
“3层是不能读写R0空间的 既然读写了R0空间就属于0环了 谁管你怎么读写的 明白? ”
不知道这句 “谁管你怎么读写的” 你看见了没 。
tikycc2
2009-08-27
打赏
举报
回复
你研究的问题太大了,检测的方法很多,注入的方法也很多,这个估计你的慢慢研究了,研究完了,你可以弄杀毒软件,或者检测软件了。
MoXiaoRab
2009-08-26
打赏
举报
回复
[Quote=引用 19 楼 coding_hello 的回复:]
从用户态还原SSDT是完全没有问题的。Mark早就提出过这个概念,并且有成熟的技术了。
简单说就是通过用户态的应用程序对\device\physicalmempry的读写操作来实现对内核物理内存数据的修改。所有的程序都在Ring3完成,不必写Ring0的驱动。
[/Quote]
正解。
你不信Google下 Ring3下恢复SSDT 代码一堆一堆的。
MoXiaoRab
2009-08-26
打赏
举报
回复
[Quote=引用 18 楼 iori915189 的回复:]
本人读书不多 意思表达可能不明白
我上面引用了一句话 不知道你看见了没有
开始我就说了 你R3和R0 的概念还没弄清楚
3层是不能读写R0空间的 既然读写了R0空间就属于0环了 谁管你怎么读的 明白?
所以 R3能还原SSDT 这句话就是错的
[/Quote]
傻的你,一看就知道没逆向过磁碟机这种厉害的。Ring3下XX的方法可以直接抹内核地址,自己水平不够就别出来现了
野男孩
2009-08-26
打赏
举报
回复
从用户态还原SSDT是完全没有问题的。Mark早就提出过这个概念,并且有成熟的技术了。
简单说就是通过用户态的应用程序对\device\physicalmempry的读写操作来实现对内核物理内存数据的修改。所有的程序都在Ring3完成,不必写Ring0的驱动。
IORI915189
2009-08-26
打赏
举报
回复
本人读书不多 意思表达可能不明白
我上面引用了一句话 不知道你看见了没有
开始我就说了 你R3和R0 的概念还没弄清楚
3层是不能读写R0空间的 既然读写了R0空间就属于0环了 谁管你怎么读的 明白?
所以 R3能还原SSDT 这句话就是错的
MoXiaoRab
2009-08-25
打赏
举报
回复
我1#提供楼主的是Hook Ring3函数,没说Native API,如果要那样拦的话,SSDT Hook ZwCreateThread没错。
但是不OpenThread怎么注入呢?你看我1#提供了几个函数,下面讲SSDT,你就认定我不懂了?有你这么用大脑思考的么
MoXiaoRab
2009-08-25
打赏
举报
回复
[Quote=引用 12 楼 iori915189 的回复:]
引用 10 楼 tr0j4n 的回复:
确实可以还原,Ring3下就可以还原SSDT Hook
ring3 和ring0的概念定义还没弄清楚 就不要误导他人了
在内核拦截NtCreateThread函数
判断当前操作进程 和被创建线程所属进程
同一进程 放过
不同 则检查操作者是否为SYSTEM 进程 是则放过
否则 判断所属进程内 该线程是否是第一个线程 是则放过
剩下的 就是远程线程了 很简单
LZ同志
给你提示的 应该不是远程线程的创建 而是qq haofang 它们的GUI全局钩子
要拦截这个 在SSDT SHADOW 里面的NtSetWindowsHookEx 这个函数
[/Quote]
ring3 和ring0的概念定义还没弄清楚 就不要误导他人了
你的意思是我无知咯?Ring3下
不能
恢复SSDT?你这个意思?
Dream_lover
2009-08-25
打赏
举报
回复
多谢 IORI915189 的指点,这几天忙别的事情去了,没有过来看。
等两天结贴,看有没有更多高人的建议。
jinling4388
2009-08-20
打赏
举报
回复
学习
shakeyou123
2009-08-20
打赏
举报
回复
学习了
IORI915189
2009-08-20
打赏
举报
回复
[Quote=引用 10 楼 tr0j4n 的回复:]
确实可以还原,Ring3下就可以还原SSDT Hook
[/Quote]
ring3 和ring0的概念定义还没弄清楚 就不要误导他人了
在内核拦截NtCreateThread函数
判断当前操作进程 和被创建线程所属进程
同一进程 放过
不同 则检查操作者是否为SYSTEM 进程 是则放过
否则 判断所属进程内 该线程是否是第一个线程 是则放过
剩下的 就是远程线程了 很简单
LZ同志
给你提示的 应该不是远程线程的创建 而是qq haofang 它们的GUI全局钩子
要拦截这个 在SSDT SHADOW 里面的NtSetWindowsHookEx 这个函数
Dream_lover
2009-08-18
打赏
举报
回复
要拦截 OpenProcess 这样的API,需要一个全局的hook吧?
MoXiaoRab
2009-08-18
打赏
举报
回复
单拦截OpenProcess是不能确定就是注入的
MoXiaoRab
2009-08-18
打赏
举报
回复
拦截的地方有几处
OpenProcess
CreateRemoteThread
VirtualAllocEx
WriteProcessMemory
加载更多回复(8)
十种
进程
注入
技术介绍
前言
进程
注入
是一种广泛使用的躲避检测的技术,通常用于恶意软件或者无文件技术。其需要在另一个
进程
的地址空间内运行特制代码,
进程
注入
改善了不可见性,同时一些技术也实现了持久性。尽管目前有许多
进程
注入
技术,但在这篇文章中,我将会介绍十种在野
发现
的,在另一个程序的地址空间执行恶意代码的
进程
注入
技术,并提供这些技术应用的截图,以便于逆向工程和恶意软件分析,然后协助检测并防御这些
进程
注入
技术。 ...
十种
进程
注入
技术介绍:常见
注入
技术及趋势调查
前言
进程
注入
是一种广泛使用的躲避检测的技术,通常用于恶意软件或者无文件技术。其需要在另一个
进程
的地址空间内运行特制代码,
进程
注入
改善了不可见性,同时一些技术也实现了持久性。尽管目前有许多
进程
注入
技术,但在这篇文章中,我将会介绍十种在野
发现
的,在另一个程序的地址空间执行恶意代码的
进程
注入
技术,并提供这些技术应用的截图,以便于逆向工程和恶意软件分析,然后协助检测并防御这些
进程
注入
技术。 一、...
进程
注入
系列Part 1 常见的
进程
注入
手段
进程
注入
是一种众所周知的技术,恶意程序利用它在
进程
的内存中插入并执行代码。
进程
注入
是一种恶意程序广泛使用的防御规避技术。大多数
情况
下,恶意程序使用
进程
注入
来动态运行代码,这意味着实际的恶意代码不需要直接写入磁盘上的文件中,以避免被防病毒软件的静态检测所
发现
。简单来说,
进程
注入
就是将一段数据从一个
进程
传输到另一个
进程
的方法,这种
注入
过程可以发生在执行操作的同一
进程
(自
注入
)上,也可发生在外部
进程
上。
emp3r0r - Linux下的
进程
注入
和持久化(初级)
背景 本文所介绍的内容是emp3r0r框架持久化模块的一部分。 Linux有一个独特的东西叫procfs,把“Everything is a file”贯彻到了极致。从/proc/pid/maps我们能查看
进程
的内存地址分布,然后在/proc/pid/mem我们可以读取或者修改它的内存。 所以理论上我们只需要一个dd和procfs即可将代码
注入
一个
进程
,也确实有人写了相关的工具。 但既然Linux提供了一个接口(只有这么一个,不像你们Windows),我们在通常
情况
下直接调用它就可以了。 ptra
十种流行
进程
注入
技术详细分析
导语:流程
注入
是一种恶意软件和无文件间谍攻击中使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个
进程
的地址空间内运行自定义代码。前言流程
注入
是一种恶意软件和无文件间谍攻击中使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个
进程
的地址空间内运行自定义代码。过程
注入
除了提高了攻击的隐蔽性之外,也实现了持久性攻击。尽管目前有许多流程
注入
技术,但在本文中,我只介绍十种在野外看到的能够运用另一个...
进程/线程/DLL
15,471
社区成员
49,182
社区内容
发帖
与我相关
我的任务
进程/线程/DLL
VC/MFC 进程/线程/DLL
复制链接
扫一扫
分享
社区描述
VC/MFC 进程/线程/DLL
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章