社区
进程/线程/DLL
帖子详情
一个DLL注入到系统进程后,如何进行“捆绑”?
yann2
2015-01-22 03:38:44
比如DEBUG到系统线程之类的,总而言之就是
现在一个DLL已经注入到系统进程,接下来 我疑问的就是 怎么把这个DLL彻底的关联到当前系统中
如果这个DLL被别的程序从外部卸载 或者 DLL所属的进程被结束 系统会立即跟着蓝屏或者自动重启之类的?
谢谢大家!
...全文
234
5
打赏
收藏
一个DLL注入到系统进程后,如何进行“捆绑”?
比如DEBUG到系统线程之类的,总而言之就是 现在一个DLL已经注入到系统进程,接下来 我疑问的就是 怎么把这个DLL彻底的关联到当前系统中 如果这个DLL被别的程序从外部卸载 或者 DLL所属的进程被结束 系统会立即跟着蓝屏或者自动重启之类的? 谢谢大家!
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
5 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
yann2
2015-01-23
打赏
举报
回复
引用 3 楼 oyljerry 的回复:
你注入到系统进程,就很难被卸载,而且一卸载很可能蓝屏
就是说注入到 一般的用户进程 和 系统进程 注入后系统产生的反应机制是不一样的? 系统进程的就很难卸载么, 这块不懂,谢谢
就是那个党伟
2015-01-22
打赏
举报
回复
引用 3 楼 oyljerry 的回复:
你注入到系统进程,就很难被卸载,而且一卸载很可能蓝屏
+
oyljerry
2015-01-22
打赏
举报
回复
你注入到系统进程,就很难被卸载,而且一卸载很可能蓝屏
lgstudyvc
2015-01-22
打赏
举报
回复
接口、协议、接口、搜索服务、搜索进程
lougd
2015-01-22
打赏
举报
回复
可以把这个dll做成explorer插件,随explorer启动而启动。
july_v4.05_final
最霸道的
进程
管理器 July V4.05 绿色版 July是一款
进程
查看软件,您可以使用它查看并管理当前
系统
的所有
进程
及模块.这款
进程
查看器堪称迄今为止最“霸道”的
进程
管理器. * 拥有极高的
系统
优先权,在CPU使用率达到100%时仍然能够正常运行。 * 所有的
进程
/模块信息都以直观的形式展现给用户。 * 除对
进程
进行
管理之外,还可以对
进程
的
DLL
模块
进行
管理。 * 对
系统
各
进程
中的
DLL
模块
进行
查找以及批量卸载。 * 对
进程
调用的API函数
进行
监控,使经
捆绑
的木马程序无处遁形。 * 绿色软件,不写注册表,直接删除便可完成卸载。 * 对常用
系统
进程
提供说明。 * 对
进程
使用的内核对象
进行
管理。 * 提供对
系统
的全方位扫描功能。 * 能够监控来自外部程序的
DLL
注入
行为,使病毒程序无处遁形
july_v4.04
这款
进程
查看器堪称迄今为止最“霸道”的
进程
管理器,它的特点有: * 拥有极高的
系统
优先权,在CPU使用率达到100%时仍然能够正常运行。 * 所有的
进程
/模块信息都以直观的形式展现给用户。 * 除对
进程
进行
管理之外,还可以对
进程
的
DLL
模块
进行
管理。 * 对
系统
各
进程
中的
DLL
模块
进行
查找以及批量卸载。 * 对
进程
调用的API函数
进行
监控,使经
捆绑
的木马程序无处遁形。 * 绿色软件,不写注册表,直接删除便可完成卸载。 * 对常用
系统
进程
提供说明。 * 对
进程
使用的内核对象
进行
管理。 * 提供对
系统
的全方位扫描功能。 * 能够监控来自外部程序的
DLL
注入
行为,使病毒程序无处遁形
Windows
进程
常用
DLL
模块
注入
技术
课程结合多种Windows
进程
常用
DLL
注入
技术。远程线程
注入
APC
注入
,异步调用过程,向目标线程插入待执行任务从而完成
注入
。窗口消息
注入
,指定窗口
进程
注入
,与全局钩子
注入
类似。环境块
注入
,获取
进程
上下文信息,直接性修改程序执行流程完成
注入
。
进程
入口点
注入
,在程序初始化的时机前将
dll
模块文件
注入
至目标主线程。
进程
调试级
注入
,涉及调试器相关功能调用知识点
dll
模块重定位内存
注入
,模拟操作
系统
加载PE文件方式,直接将
dll
文件内存数据写入目标
进程
并执行。导入表
注入
,涉及PE相关知识点,增加区段,移动导入表,增加导入表、增加导出函数,修复表项数据等。内核驱动级
Dll
模块
注入
技术,内核驱动入门扩展。
Windows应用程序
捆绑
核心编程光盘代码
第1章 再谈计算机内存访问 1 1.1 引言 1 1.2 内存管理概述 1 1.2.1 虚拟内存 1 1.2.2 CPU工作模式 2 1.2.3 逻辑、线性和物理地址 3 1.2.4 存储器分页管理机制 3 1.2.5 线性地址到物理地址的转换 4 1.3 虚拟内存访问 5 1.3.1 获取
系统
信息 5 1.3.2 在应用程序中使用虚拟内存 6 1.3.3 获取虚存状态 7 1.3.4 确定虚拟地址空间的状态 8 1.3.5 改变内存页面保护属性 9 1.3.6
进行
一个
进程
的内存读写 10 1.4 文件的内存映射 11 1.4.1 内存映射API函数 11 1.4.2 用内存映射在多个应用程序之间共享数据 13 1.4.3 用内存映射文件读取大型文件 18 1.5 深入认识指针的真正含义 21 .1.5.1 指针的真正本质 21 1.5.2 用指针
进行
应用程序之间的通信 22 1.6 本章小结 26 参考文献 27 第2章 再谈PE文件结构 28 2.1 引言 28 2.2 PE文件格式概述 28 2.2.1 PE文件结构布局 28 2.2.2 PE文件内存映射 30 2.2.3 Big-endian和Little-endian 31 2.2.4 3种不同的地址 31 2.3 PE文件结构 32 2.3.1 MS-DOS头部 32 2.3.2 IMAGE_NT_HEADER头部 33 2.3.3 IMAGE_SECTION_HEADER头部 36 2.4 如何获取PE文件中的OEP 36 2.4.1 通过文件读取OEP值 37 2.4.2 通过内存映射读取OEP值 38 2.4.3 读取OEP值方法的测试 39 2.5 PE文件中的资源 40 2.5.1 查找资源在文件中的起始位置 40 2.5.2 确定PE文件中的资源 41 2.6
一个
修改PE可执行文件的完整实例 43 2.6.1 如何获得MessageBoxA代码 43 2.6.2 把MessageBoxA()代码写入PE文件的完整实例 45 2.7 本章小结 53 参考文献 53 第3章
进程
之间通信概述及初级技术 54 3.1 引言 54 3.2
进程
通信概述 55 3.2.1 Windows
进程
间标准通信技术的发展 55 3.2.2 应用程序与
进程
56 3.2.3
进程
之间通信的类型 56 3.3 使用自定义消息通信 57 3.3.1 通过自定义消息实现
进程
间通信的方法 57 3.3.2 通过自定义消息实现
进程
间通信的实例 58 3.4 使用WM_COPYDATA消息通信 60 3.4.1 通过WM_COPYDATA消息实现
进程
间通信的方法 60 3.4.2 通过WM_COPYDATA消息实现
进程
间通信的实例 61 3.5 使用内存读写函数和内存映射文件通信 62 3.5.1 使用内存映射文件通信的方法 62 3.5.2 使用内存读写函数实现
进程
间通信的方法 62 3.5.3 使用内存读写函数实现
进程
间通信的实例 63 3.6 使用动态链接库通信 64 3.6.1
DLL
概述 64 3.6.2 使用
DLL
通信的方法 65 3.6.3 使用
DLL
通信的实例 66 3.7 使用Windows剪贴板通信 67 3.7.1 使用剪贴板实现
进程
间通信的方法 68 3.7.2 使用剪贴板实现
进程
间通信的实例 68 3.8 使用动态数据交换(DDE)通信 70 3.8.1 使用DDE技术通信原理 70 3.8.2 如何使用DDEML编写程序 71 3.8.3 使用DDE通信的实例 72 3.9 本章小结 77 参考文献 77 第4章 使用消息管道、邮槽和套接字通信 78 4.1 引言 78 4.2 如何用命名管道
进行
进程
间通信 78 4.2.1 命名管道函数 79 4.2.2 命名管道服务端与客户端之间通信的实现流程 80 4.2.3 命名管道服务端与客户端之间通信的实例 81 4.3 如何用邮槽
进行
进程
间通信 85 4.3.1 用邮槽
进行
进程
间通信的步骤 85 4.3.2 邮槽服务器端与客户端之间通信的实例 86 4.4 如何用Windows套接字
进行
进程
间通信 90 4.4.1 套接字分类 90 4.4.2 流式套接字编程流程 91 4.4.3 套接字调用基本函数 92 4.4.4 Winsock程序设计 95 4.4.5
一个
通用套接字类 96 4.4.6 套接字服务器端与客户端间通信的实例 101 4.5 本章小结 106 参考文献 106 第5章 使用LPC和RPC通信 107 5.1 引言 107 5.2 接口定义语言(IDL)简介 107 5.3 使用本地过程调用(LPC)通信 108 5.3.1 使用LPC通信方法介绍 108 5.3.2 使用LPC通信的实例 110 5.4 使用远程过程调用(RPC)通信 117 5.4.1 RPC运行机制 117 5.4.2 RPC 绑定模式和属性 118 5.4.3 RPC传输(Transport) 118 5.4.4 如何编写RPC应用程序 119 5.4.5 使用RPC通信的实例 120 5.5 本章小结 128 参考文献 128 第6章 使用组件模型通信 129 6.1 引言 129 6.2 COM/DCOM模型概述 129 6.2.1 COM/DCOM的特点 129 6.2.2 COM/DCOM组件模型分类 130 6.3 使用组件对象模型(COM/DCOM)通信 131 6.3.1 使用COM/DCOM通信方法介绍 131 6.3.2 基于DCOM实现远程会话的实例 136 6.4 本章小结 147 参考文献 147 第7章
进程
的创建、控制和隐藏 148 7.1 引言 148 7.2 常见的几种创建
进程
的方法 148 7.2.1 使用WinExec() 函数 148 7.2.2 使用ShellExecute()和ShellExecuteEx()函数 149 7.2.3 使用CreateProcess()函数 151 7.2.4 使用OLE激活服务程序 154 7.3 如何获得
进程
句柄 155 7.3.1 获得
一个
进程
的句柄 155 7.3.2 提升
进程
权限级别 156 7.4 如何实现当前
进程
的枚举 158 7.4.1 通过
系统
快照实现当前
进程
的枚举 158 7.4.2 通过psapi.
dll
提供的API函数实现当前
进程
的枚举 160 7.4.3 通过wtsapi32.
dll
提供的API函数实现当前
进程
的枚举 162 7.4.4 通过nt
dll
.
dll
提供的API函数实现当前
进程
的枚举 163 7.5 如何终止
进程
164 7.5.1 如何终止本
进程
165 7.5.2 如何终止外部
进程
165 7.5.3 终止
进程
的实例 165 7.6 如何隐藏
进程
(
注入
代码) 166 7.6.1 基本原理 166 7.6.2 使用CreateRemoteThread()隐藏
DLL
167 7.6.3 使用CreateRemoteThread()直接
注入
API函数代码 173 7.6.4 使用Windows内存映射文件
注入
代码 174 7.6.5 使用特洛伊
DLL
注入
代码 174 7.6.6 使用注册表
注入
DLL
175 7.6.7 使用程序挂钩的方法
注入
代码 175 7.7 本章小结 175 参考文献 176 第8章 应用程序的静态挂钩 177 8.1 引言 177 8.2 使用C/C++语言提取可执行程序代码 177 8.2.1 在C/C++中使用内联汇编 177 8.2.2 如何使用C/C++语言提取可执行程序代码 179 8.3 如何对PE文件加壳 182 8.3.1 PE文件的加壳方法 182 8.3.2 向PE文件中静态
注入
代码的完整实例 183 8.4 如何实现文件脱壳 191 8.5 本章小结 192 参考文献 192 第9章 应用程序的动态挂钩 193 9.1 动态挂钩概述 193 9.2 使用Windows钩子函数挂钩 194 9.2.1 Windows钩子函数 194 9.2.2 具体实例 195 9.3 替换原API函数入口挂钩 198 9.3.1 如何替换原API函数入口实现挂钩 198 9.3.2 通用的替换原API函数入口挂钩类 199 9.3.3 使用JMP法编写的挂钩实例 201 9.4 替换IAT中的函数地址
进行
挂钩 202 9.4.1 如何替换IAT中的函数地址实现挂钩 202 9.4.2 通用的替换IAT中的函数地址挂钩类 203 9.4.3 使用IAT法编写的挂钩实例 207 9.5 替换Windows消息处理函数实现挂钩 208 9.5.1 Windows消息处理函数及其替换 209 9.5.2 替换Windows消息处理函数实现挂钩的实例 210 9.6 钩子
DLL
文件的装载 214 9.7 本章小结 216 参考文献 216 第10章 数据的编码和解码实例 217 10.1 引言 217 10.2 游程编码 218 10.2.1 CX游程压缩方法 218 10.2.2 BI_RLE8压缩方法 218 10.2.3 BI_RLE压缩方法 218 10.2.4 缩位压缩方法(Packbits) 219 10.3 Huffman编码 219 10.3.1 Huffman编码原理 219 10.3.2 Huffman编码过程 220 10.4 算术编码 221 10.4.1 算术编码算法 221 10.4.2 算术解码算法 222 10.5 LZW压缩算法 222 10.5.1 LZW压缩算法原理 223 10.5.2 用VC++实现LZW压缩算法 225 10.6 Base64编码 236 10.6.1 Base64算法原理 236 10.6.2 Base64算法的实现 238 10.7 本章小结 241 参考文献 242 第11章 可执行文件的
捆绑
和分离 243 11.1 引言 243 11.2
捆绑
方式分类 243 11.2.1 结合式
捆绑
243 11.2.2 功能式
捆绑
245 11.3 文件
捆绑
相关技术 245 11.3.1 文件
捆绑
工具及实现 245 11.3.2 木马程序与
捆绑
246 11.3.3 文件自身操作特点分析 246 11.4 文件属性的获取和伪装 248 11.4.1 文件属性的获取和更改 248 11.4.2
一个
获取文件基本属性类 249 11.4.3 可执行程序自删除的实现 251 11.4.4 如何获取其他应用程序的图标 254 11.4.5 如何改变窗口的图标 255 11.5 被
捆绑
文件分离后的运行及自分解文件原理 256 11.5.1 异步执行分解法的实现 256 11.5.2 同步执行分解法的实现 256 11.5.3 自动分解法的实现 257 11.6
一个
捆绑
机(BindHider)软件的设计 258 11.6.1 BindHider的设计 258 11.6.2 BindHider的源代码 259 11.7 一种制作自分解文件的方法 263 11.7.1 母体程序的制作 264 11.7.2 自分解文件的制作 266 11.8 本章小结 267 参考文献 268 第12章 可执行文件的分割和合并 269 12.1 引言 269 12.2 文件分割方式 269 12.2.1 考虑文件格式的分割 269 12.2.2 设置子文件大小的分割 270 12.2.3 具有自合并功能的文件分割 271 12.2.4 依赖文件存放位置的分割 271 12.2.5 依赖磁盘大小的分割 271 12.3 如何使用多线程 272 12.3.1 线程的创建和终止 272 12.3.2 线程的控制函数 273 12.3.3 线程的通信 273 12.4 文件的简单分割与合并 274 12.4.1 文件的简单分割 274 12.4.2 文件的简单合并 275 12.5 用多线程
进行
文件的分割与合并的实例 277 12.5.1 文件的分割与合并方案设计 277 12.5.2 用多线程
进行
文件分割 279 12.5.3 用多线程
进行
文件合并 282 12.6 分割后文件自动合并的方案设计 286 12.6.1 控制程序的制作 286 12.6.2 用于文件自合并的控制程序的制作 287 12.6.3 一种生成自合并文件的分割软件制作 289 12.7 本章小结 292 参考文献 292 第13章 多线程下载和断点续传 293 13.1 引言 293 13.2 使用FTP
进行
多线程下载和断点续传 293 13.2.1 FTP协议简介 293 13.2.2 FTP的工作模式 295 13.2.3 FTP协议多线程下载和断点续传的实现 295 13.2.4 实例 306 13.3 使用HTTP
进行
多线程下载和断点续传 307 13.3.1 HTTP协议简介 307 13.3.2 HTTP协议的内部操作过程 308 13.3.3 HTTP协议多线程下载和断点续传的实现 311 13.3.4 实例 321 13.4 BT下载简介 323 13.4.1 BT下载与一般下载的区别 323 13.4.2 BT种子 324 13.4.3 BT的下载过程 324 13.5 本章小结 324 参考文献 325 第14章 带附件的电子邮件发送剖析 326 14.1 引言 326 14.2 电子邮件的发送方法 326 14.3 用WinSock实现SMTP协议 327 14.3.1 SMTP协议 327 14.3.2 SMTP的实现 328 14.4 邮件格式化 335 14.4.1 邮件主体格式化 335 14.4.2 邮件附件格式化 338 14.4.3 邮件格式化 341 14.5 发送电子邮件实例 346 14.6 本章小结 347 参考文献 347 第15章 特洛伊木马与反木马技术 348 15.1 引言 348 15.2 常见的木马种类 349 15.3 木马的载入方式 350 15.4 木马采用的伪装方法 351 15.5 Windows 2K/XP中无法删除文件的常用解决办法 352 15.6 一种木马病毒的检测技术 353 15.7 本章小结 358
病毒攻杀编程技术资料!
!病毒攻杀编程技术资料!.rar [ActiveProcessLinks] [DKOM保护
进程
] [DKOM
进程
保护] [DKOM隐藏
进程
] [
DLL
注入
] [FcOpenProcess] [FlowerBellGetProcess] [FTP上传下载文件] [NtQueryDirectoryFile枚举文件和文件夹] [NtSysDbgCtrl查看
进程
模块] [PE导出输入表演示(文件影射版)] [PE导出输入表演示(读文件版)] [PE导出输入表演示(
进程
版)收藏] [Ping指令类模块] [Ring0删除文件] [Ring3 Inline Hook NtTerminateProcess] [Ring3 Inline Hook Scan] [RUN
DLL
32使用方法] [Shadow SSDT] [SSTD] [VB中基于TCPIP协议的点对点文件传输代码] [Windows Script Host] [下载文件] [二进制文件读写] [从内存启动程序(可能导致蓝屏)] [使用别的程序终止
进程
] [修改内核数据] [修改文件时间] [修改程序图标] [修改键盘按键] [关于注册表的API] [关闭
进程
窗口] [内存填中断杀
进程
] [内存填零杀
进程
] [创建SYSTEM用户
进程
] [动态API(绕过 三环钩子)] [双
进程
保护] [双
进程
保护2] [发送按键] [发送邮件] [取得
系统
语言] [取得
进程
] [变相执行EXE] [可以利用的程序(
进程
保护+中止
进程
)] [向DOS窗口发送文字] [启动暂停
系统
服务] [处理Ctrl+Alt+Del
系统
热键] [多线程执行] [大文件MD5验证] [完整病毒(内含驱动杀
进程
)] [完整的API钩子] [屏蔽 NT
系统
的下所有按键消息] [常规方式枚举
进程
(PSAPI)] [延时(低CPU占用)] [建立和删除用户] [强制文件夹重命名] [得到EXE图标] [得到本机IP地址] [得到
进程
命令行] [得到
进程
父ID] [得到
进程
的模块] [得到
进程
的线程] [快速更改分辨率程序] [快速格式化] [快速蓝屏] [恢复Inline-Hook(Only XP SP2)] [挂起
进程
] [控制远程计算机] [控制鼠标] [数字签名验证] [文件占坑防止删除] [文件
捆绑
] [文件校验] [映像劫持] [枚举消息钩子] [枚举线程] [枚举
进程
(PID+EPROCESS)] [枚举
进程
的线程(TID+ETHREAD)] [查找窗口并设置标题(消息炸弹)] [检查网络连接] [检测U盘插入+自动复制指定文件] [检测内核模块] [炉子的
进程
管理器] [用外部的VB代码控制内部程序] [病
进程/线程/DLL
15,471
社区成员
49,181
社区内容
发帖
与我相关
我的任务
进程/线程/DLL
VC/MFC 进程/线程/DLL
复制链接
扫一扫
分享
社区描述
VC/MFC 进程/线程/DLL
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章