shulun743 - 2011-1-14 15:22:00
启动的注入进程在进入r0后总会执行到内核态函数KeUsermodeCallback,而DLL
注入代码的加载正是依赖此函数的回调机制得以实现。
只要通过hook方式对函数KeUsermodeCallback做参数检查,过滤掉DLL加载行为
就可以实现指定进程的反DLL注入之目的,这正是360保险箱反注入方法基础之一。
http://bbs.360.cn/3229787/33389173.html
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.9 (KHTML, like Gecko) Maxthon/3.0 Safari/533.9
© 2000 - 2024 Rising Corp. Ltd.