发表于: 2011-01-14 15:22 | 显示全部 短消息 资料
字号: 1楼

360保险箱反注入分析

启动的注入进程在进入r0后总会执行到内核态函数KeUsermodeCallback,而DLL
注入代码的加载正是依赖此函数的回调机制得以实现。

只要通过hook方式对函数KeUsermodeCallback做参数检查,过滤掉DLL加载行为
就可以实现指定进程的反DLL注入之目的,这正是360保险箱反注入方法基础之一。



http://bbs.360.cn/3229787/33389173.html


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.9 (KHTML, like Gecko) Maxthon/3.0 Safari/533.9