黑客知识系列之木马程序隐身的技术
最基本的隐藏:不可见窗体+隐藏文件
木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种:
1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。
2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。
其中,Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马,于是便出现了下面要介绍的“进程隐藏”技术。
第一代进程隐藏技术:Windows 98的后门
在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。
要对付这种隐藏的木马还算简单,只需使用其他第三方进程管理工具即可找到其所在,并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术,就没有这么简单对付了。
第二代进程隐藏技术:进程插入
在Windows中,每个进程都有自己的私有内存地址空间,当使用指针(一种访问内存的机制)访问内存时,一个进程无法访问另一个进程的内存地址空间,就好比在未经邻居同意的情况下,你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据,而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性,如果你的进程存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存。
你知道吗——进程(Process)是什么
对应用程序来说,进程就像一个大容器。在应用程序被运行后,就相当于将应用程序装进容器里了,你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等),当应用程序被运行两次时,容器里的东西并不会被倒掉,系统会找一个新的进程容器来容纳它。
一个进程可以包含若干线程(Thread),线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件,另一个则接收用户的按键操作并及时做出反应,互相不干扰),在程序被运行后中,系统首先要做的就是为该程序进程建立一个默认线程,然后程序可以根据需要自行添加或删除相关的线程。
1.进程插入是什么
独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说,系统更容易捕获随意的内存读取和写入操作。对于用户来说,操作系统将变得更加健壮,因为一个应用程序无法破坏另一个进程或操作系统的运行。当然,操作系统的这个健壮特性是要付出代价的,因为要编写能够与其他进程进行通信,或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如下文要介绍的盗QQ密码。
2.木马是如何盗走QQ密码的
普通情况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了,真是“家贼难防”啊!
3.如何插入进程
(1)使用注册表插入DLL
早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。
(2)使用挂钩(Hook)插入DLL
比较高级和隐蔽的方式,通过系统的挂钩机制(即“Hook”,类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”),需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高,程序调试困难,这种木马的制作者必须具有相当的Win32编程水平。
你知道吗——什么是API
Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface,即“应用程序编程接口”),如一些程序需要对磁盘上的文件进行读写,就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求,然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能,最后将调用结果(如写入文件成功,或读取文件失败等)返回给程序。
(3)使用远程线程函数(CreateRemoteThread)插入DLL
在Windows 2000及以上的系统中提供了这个“远程进程”机制,可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显,仅支持Windows 2000及以上系统,在国内仍有相当多用户在使用Windows 98,所以采用这种进程插入方式的木马缺乏平台通用性。
木马将自身作为DLL插入别的进程空间后,用查看进程的方式就无法找出木马的踪迹了,你能看到的仅仅是一些正常程序的进程,但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看),木马的DLL模块就会现形了。
不要相信自己的眼睛:恐怖的进程“蒸发”
严格地来讲,这应该算是第2.5代的进程隐藏技术了,可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中,而可以直接消失!
它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数,进程信息都包含在该函数的返回结果中,由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。
而木马由于事先对该API函数进行了Hook,所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色),木马便得到了通知,并且在函数将结果(列出所有进程)返回给程序前,就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目,却有人不知不觉中将电视接上了DVD,你在不知不觉中就被欺骗了。
所以无论是“任务管理器”还是杀毒软件,想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段,只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除,这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题,所以没有被广泛采用。
你知道吗——什么是Hook
Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制,中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后,一旦发生已Hook的事件,对该事件进行Hook的程序(如:木马)就会收到系统的通知,这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。
毫无踪迹:全方位立体隐藏
利用刚才介绍的Hook隐藏进程的手段,木马可以轻而易举地实现文件的隐藏,只需将Hook技术应用在文件相关的API函数上即可,这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是,现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。
跟杀毒软件对着干:反杀毒软件外壳
木马再狡猾,可是一旦被杀毒软件定义了特征码,在运行前就被拦截了。要躲过杀毒软件的追杀,很多木马就被加了壳,相当于给木马穿了件衣服,这样杀毒软件就认不出来了,但有部分杀毒软件会尝试对常用壳进行脱壳,然后再查杀(小样,别以为穿上件马夹我就不认识你了)。除了被动的隐藏外,最近还发现了能够主动和杀毒软件对着干的壳,木马在加了这种壳之后,一旦运行,则外壳先得到程序控制权,由其通过各种手段对系统中安装的杀毒软件进行破坏,最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。
你知道吗——什么是壳
顾名思义,你可以很轻易地猜到,这是一种包在外面的东西。没错,壳能够将文件(比如EXE)包住,然后在文件被运行时,首先由壳获得控制权,然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密,这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”,如果发现某文件中含有这个特征,就认为该文件是木马,而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”,加密后变成了“54321”,这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除,恢复文件没有加壳前的状态。
http://security.ccidnet.com/art/1099/20061213/974213_1.html
问题点数:70、回复次数:116Top
1 楼systemx(-操!老子从不讲脏话的!阿弥陀佛!-)回复于 2006-12-14 17:59:02 得分 20
先顶再看Top
2 楼trackreg()回复于 2006-12-15 10:20:09 得分 20
学习来。Top
3 楼yilangyun()回复于 2006-12-15 10:29:23 得分 20
受益匪浅!Top
4 楼txdog(000010 000101 000000)回复于 2006-12-15 10:46:59 得分 10
收藏下看看Top
5 楼guangbin79()回复于 2006-12-15 10:48:46 得分 0
木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了,真是“家贼难防”啊!
--------
不一定要插入到QQ进程里才能接获QQ密码吧,插入到其它系统进程也应该可以Top
6 楼hxh76ahei(ah hei)回复于 2006-12-15 10:50:30 得分 0
markTop
7 楼luver(烂番)回复于 2006-12-15 10:56:10 得分 0
现在纯DLL的木马不是弄的很成熟的吗?也顺带讲讲,呵Top
8 楼zhangswww()回复于 2006-12-15 11:03:01 得分 0
虽然我是做硬件的,对软件知识不是太了解,看到后受益菲浅。Top
9 楼CrazyGou()回复于 2006-12-15 11:04:47 得分 0
markTop
10 楼Josion(游胆孤侠)回复于 2006-12-15 11:08:28 得分 0
完了,如果按LZ所讲,我写的那些网游工具,是木马了?
吓死!!!!!Top
11 楼Writer(执着的灵魂)回复于 2006-12-15 11:14:07 得分 0
注入后消失得无影无踪的才叫厉害. 按楼主说的注入后怎么也能用一些工具查看出该进程调用了哪些DLL.Top
12 楼weiym(磨刀霍霍向猪羊)回复于 2006-12-15 11:21:15 得分 0
不一定要HOOK,直接往其他进程里写可执行代码,比如果往系统桌面explorer.exe,同样无影无踪Top
13 楼bitpolar(独自看天)回复于 2006-12-15 11:35:59 得分 0
我要学写木马病毒 -_-#Top
14 楼sinictao()回复于 2006-12-15 11:36:20 得分 0
markTop
15 楼yunhaiC(云海唯C)回复于 2006-12-15 11:49:53 得分 0
抄袭的吧Top
16 楼tianhuo_soft(悬崖边的舞者)回复于 2006-12-15 11:52:22 得分 0
upTop
17 楼ym_yxl(忙里偷闲)回复于 2006-12-15 12:01:22 得分 0
已收藏!顶Top
18 楼greenery(greenery)回复于 2006-12-15 12:19:06 得分 0
有调试工具可以看到进程所包含的DLL列表的
如: process explorer (sysinternals)Top
19 楼ghjvavi(vavi)回复于 2006-12-15 12:54:31 得分 0
mark
Top
20 楼rainbow_ayst(口丁拉瓦)回复于 2006-12-15 13:16:02 得分 0
markTop
21 楼shunan(什么是技术)回复于 2006-12-15 13:32:37 得分 0
mark!学习!Top
22 楼asuan(~不要叫我高手~)回复于 2006-12-15 13:38:10 得分 0
顶Top
23 楼liangqingzhi(老之)回复于 2006-12-15 13:42:55 得分 0
没有学习的价值Top
24 楼isy84()回复于 2006-12-15 13:48:18 得分 0
bjTop
25 楼chary8088(天使鱼儿)回复于 2006-12-15 14:02:33 得分 0
木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了,真是“家贼难防”啊!
--------
这就是胡扯!!
写的很基础
Top
26 楼eroscheng(成功)回复于 2006-12-15 14:23:33 得分 0
mark
Top
27 楼rhs(释放自己)回复于 2006-12-15 14:59:11 得分 0
有价值,学习Top
28 楼shrinerain(圣影雨)回复于 2006-12-15 15:22:47 得分 0
XP下的QQ密码输入是直接做成驱动的.Hook根本不管用Top
29 楼aho123()回复于 2006-12-15 15:48:31 得分 0
mark
Top
30 楼jihailong(谁给我分我和谁急)回复于 2006-12-15 16:01:23 得分 0
好好瞎扯吧Top
31 楼GmLibra(平常心)回复于 2006-12-15 16:21:55 得分 0
路過Top
32 楼KeSummer([IN]LPVOID YourLove,[OUT]LPVOID MyLove)回复于 2006-12-15 16:27:07 得分 0
...现在多数是内核级HOOK。。而LZ的文章只涉及了ring3级的HOOK。。Top
33 楼Skyleo_liu(回归网络生活)回复于 2006-12-15 16:58:52 得分 0
看下~~~Top
34 楼FX_hong()回复于 2006-12-15 17:00:36 得分 0
好东西呀 》长见识了Top
35 楼xiaozi086()回复于 2006-12-15 17:02:45 得分 0
markTop
36 楼xuyehao()回复于 2006-12-15 17:08:23 得分 0
gfdgTop
37 楼yunbaixingxing()回复于 2006-12-15 17:26:43 得分 0
仍然马克Top
38 楼cndeer(还是王子)回复于 2006-12-15 17:33:22 得分 0
markTop
39 楼cao_flame()回复于 2006-12-15 17:40:36 得分 0
看了还是不懂!Top
40 楼Stefine(CSDN最菜滴猩猩)回复于 2006-12-15 17:44:49 得分 0
LS正解Top
41 楼jspadmin(阿笨狗http://www.pifoo.com域名空间专卖cn20、com50元)回复于 2006-12-15 18:31:59 得分 0
经典!学习ingTop
42 楼fenghao_5555()回复于 2006-12-15 19:33:26 得分 0
学习Top
43 楼lilo_x(lilo_x)回复于 2006-12-15 20:26:34 得分 0
mark
Top
44 楼lllxy(xiaofu)回复于 2006-12-15 21:01:31 得分 0
顶Top
45 楼feto(酒肉.程序员)回复于 2006-12-15 23:30:30 得分 0
无聊,还是研究一下怎样编写软件为人们服务吧!
天天倒腾病毒,木马,流氓软件最后又能成就生么呢?顶级黑客?还是软件流氓?Top
46 楼pqmgumnq9n09za1kqbpp(我是菜鸟,为什么老是删我的帖子)回复于 2006-12-16 00:08:41 得分 0
我的板子是技嘉的 GA-6BXD,PCB 版本号 1.6,BIOS 更新到最新。跳线在 100MHz/5.0X,装上 2 只原装 OEM PIII500 CPU,Slot1 接口,开机能够认到 2 个 CPU,显示
INTEL 440BX AGP CHIPSET
VCORE1=2.00V VCORE2=2.00V
INTEL PENTIUM III-MMX CPU 500MHz , 2 Processor(s)
<CPU2 ID=0636><PATCH ID=0035><CPU1 ID=0636><PATCH ID=0035>
Memory Testing... 1048576KB OK.
但是无论安装 WinNT 4.0 Win2000 Pro/Server WinXP 都不能识别 2 个 CPU,任务管理器只有 1 个,任务管理器的图表菜单中也没有每个CPU一个图表的选项。
请教这是怎么回事?Top
47 楼mylovelypig(猪的魅力!......)回复于 2006-12-16 01:13:28 得分 0
先顶再看Top
48 楼qz362100()回复于 2006-12-16 08:11:40 得分 0
不错啊!在学习中...............Top
49 楼i_love_pc(杰子)(欢迎加入技术交流QQ群:23640432)回复于 2006-12-16 08:20:29 得分 0
看了再顶.Top
50 楼an_lag()回复于 2006-12-16 08:20:36 得分 0
比较好的一篇文章,浅显易懂!Top
51 楼wangjia184(我就是传说中的。。。。。。SB)回复于 2006-12-16 11:25:58 得分 0
这些好像都是应用层的东西
如果要对抗 杀毒软件, 则应该从底层截断
谁能做到最底层 谁就能胜利Top
52 楼LiChenYue(卐)(李忱悦)(怎堪蔑拒?鳄泪横流㊣暗恋未遂!独孤求偶)(卐)回复于 2006-12-16 11:28:53 得分 0
收藏了!Top
53 楼satans18((何畏)(只要你过得比我好))回复于 2006-12-16 12:42:44 得分 0
不错~~Top
54 楼sjjf(水晶剑锋)回复于 2006-12-16 13:52:11 得分 0
看lz这么辛苦,mark一下吧Top
55 楼ydbcsdn(我恨我痴心)回复于 2006-12-16 14:50:34 得分 0
长见识了。。。。Top
56 楼zdf9218(众里寻丫千百度, 丫儿却在灯火阑珊处)回复于 2006-12-16 15:32:50 得分 0
markTop
57 楼yyhandy(小伟)回复于 2006-12-16 15:53:38 得分 0
学习~Top
58 楼orangehf()回复于 2006-12-16 16:21:52 得分 0
好好学习下Top
59 楼wxspll(HDU)回复于 2006-12-16 19:02:42 得分 0
谁能做到最底层 谁就能胜利
-------------------------Top
60 楼searingice(獨行·雪夜)(现实像石头,精神是个蛋。)回复于 2006-12-16 19:36:07 得分 0
mark too.Top
61 楼zsj1101(江南神探)回复于 2006-12-16 21:21:07 得分 0
学习一下。Top
62 楼zzmsl(周先生)回复于 2006-12-16 22:25:34 得分 0
收藏了。Top
63 楼ZLL5267()回复于 2006-12-16 22:51:45 得分 0
我喜欢Top
64 楼lifeiwen()回复于 2006-12-17 00:45:07 得分 0
有没有后续啊?怎么做木马和怎么防都没说Top
65 楼Ceja(Ceja)回复于 2006-12-17 09:43:26 得分 0
会做木马的人有公司要吗?Top
66 楼Juchiyufei(三更半夜我送你回家.总统也许我做不到.今生难得的遇见你,我们就应该在一起.....)回复于 2006-12-17 10:05:57 得分 0
不错呀.Top
67 楼papayamomo(木瓜林)回复于 2006-12-17 10:17:07 得分 0
党和人民谢谢你Top
68 楼zuoyefeng()回复于 2006-12-17 12:38:05 得分 0
晕
恶心一下lz
多年前的技术了
就不要拿出来了
还是自己好好收藏着吧Top
69 楼gjb999(老鼠老鼠还是一只老鼠!)回复于 2006-12-17 12:48:15 得分 0
继续呀。。。。。没过因Top
70 楼linhl()回复于 2006-12-17 13:31:40 得分 0
markTop
71 楼myjian(嗷嗷叫的老马--很不顺.....最近.....很不顺.........)回复于 2006-12-17 14:05:17 得分 0
现在都是驱动级的了,HOHOTop
72 楼qltouming(缘木渔人-临渊羡鱼,不若退而结网)回复于 2006-12-17 14:24:05 得分 0
学习Top
73 楼linguicheng(自信、自知、自强)回复于 2006-12-17 15:29:03 得分 0
受益菲浅Top
74 楼yitian130(※爱计算机胜过爱自己!‰为理想而战)回复于 2006-12-17 20:51:25 得分 0
学习了
Top
75 楼shabee()回复于 2006-12-17 20:56:55 得分 0
虽然是老技术,不过还是要Mark一下Top
76 楼firefox_zhou()回复于 2006-12-17 20:57:27 得分 0
果然不错Top
77 楼b_duan()回复于 2006-12-17 21:38:37 得分 0
学习
Top
78 楼midnight6688()回复于 2006-12-17 22:19:20 得分 0
学习了. mark~~~~~~Top
79 楼hurrayboy()回复于 2006-12-18 00:11:23 得分 0
收藏啦
谢谢LZ啦Top
80 楼analysefirst(+++++++++=剑客++~~)回复于 2006-12-18 07:59:53 得分 0
看WINDOWS核心编程,里面有挂接和插入DLL技术的Top
81 楼ai19811125()回复于 2006-12-18 08:44:34 得分 0
顶Top
82 楼tabris17(四不象)回复于 2006-12-18 09:38:06 得分 0
都是很老的技术
有没有新颖一点的?Top
83 楼liuluo520(007网络安全小组 http://www.007spy.cn)回复于 2006-12-18 11:24:54 得分 0
有点长进了,谢谢Top
84 楼funbird(浪漫乞丐)回复于 2006-12-18 11:56:40 得分 0
没学过,增长不少!!!希望是正确的!!!Top
85 楼gcin2008(超人)回复于 2006-12-18 12:30:03 得分 0
支持LZ,不错。不过新技术越来越多,大家都与时俱进吧Top
86 楼WLWW(傲视天下)回复于 2006-12-18 13:20:49 得分 0
学习,学习
Top
87 楼theforever(碧海情天)回复于 2006-12-18 13:53:28 得分 0
新技术大凡都会掖着藏着,自己利用了去谋利。
能够甩出来的,无不都是快过时或没掖藏价值的东西。Top
88 楼iGray(i_冲锋陷阵)回复于 2006-12-18 15:30:26 得分 0
很精彩,顶起!:)Top
89 楼hangzhou_hammer(ㄛ鎯頭[鉄的])回复于 2006-12-18 16:22:07 得分 0
MARK~~~~~~~~~~~~~~~Top
90 楼okeyde()回复于 2006-12-18 17:42:27 得分 0
写的很实际!受益匪浅!Top
91 楼argenCHN(【夷不谋夏,胡不乱华】)回复于 2006-12-18 19:51:40 得分 0
留名Top
92 楼flashasp(flashasp)回复于 2006-12-18 20:51:16 得分 0
学习,请问LZ怎么抵御DDOS攻击呢??Top
93 楼hunhun02(永不放弃)回复于 2006-12-18 20:58:05 得分 0
学习Top
94 楼hcd007(猎人王)回复于 2006-12-18 21:02:51 得分 0
长见识了。
upTop
95 楼TrackSpider(轨道蜘蛛)回复于 2006-12-18 21:24:20 得分 0
不错!经典!!收藏了!
顶!!
Top
96 楼hwpass()回复于 2006-12-19 11:45:49 得分 0
markTop
97 楼JH_JH()回复于 2006-12-19 15:56:33 得分 0
要是三年前看到就好咯.现在都有些过时了.不过都是基础.收藏Top
98 楼Mi_Bo(长弓落日)回复于 2006-12-19 17:52:38 得分 0
好文啊,顶Top
99 楼sdy3653232()回复于 2006-12-19 23:03:31 得分 0
经典啊Top
100 楼tangqiaojie(小米虫)回复于 2006-12-19 23:53:55 得分 0
markTop
101 楼missvip()回复于 2006-12-20 08:35:13 得分 0
上面的技术我基本上都成功实现过,不过我就有一个问题了.
将dll插入到别的进程空间,例如插入到explore.exe空间,当机器重起后,怎么样还能插入到explore.exe进程空间了!Top
102 楼tetsuya(小哲)回复于 2006-12-20 10:49:00 得分 0
markTop
103 楼zmzbs123(小阵阵)回复于 2006-12-20 12:22:55 得分 0
jfTop
104 楼xiaoqiangvs007(流星男孩)回复于 2006-12-20 15:25:28 得分 0
基本上ring 3层的修改已经没有多大杀伤力,而且技术不分好坏,感觉做个好木马还是需要很高技术Top
105 楼qufo(鎴戞兂娴嬭瘯涓€涓嬫樀绉板埌澶氬皯闀挎槸鏈€闀匡紒鎴戞兂娴嬭瘯涓€涓嬫樀绉板埌澶氬皯闀挎槸鏈€闀匡紒)回复于 2006-12-20 22:50:31 得分 0
my123.com 就是把自己装成是驱动的,我朋友中了,我去看了下,直接手动杀掉了。
嘿嘿,用瑞星专杀查不到,用 safe 360 查到杀不掉。 wopti 查到杀不了。
驱动可不是谁都能乱动的。Top
106 楼skertone()回复于 2006-12-20 23:45:03 得分 0
my123.com 就是把自己装成是驱动的,我朋友中了,我去看了下,直接手动杀掉了。-----
不是装成驱动吧?是真写成驱动了? 怎么手工杀啊,我都郁闷了好些天,后来下专杀工具才搞定
Top
107 楼pol000(糊涂)回复于 2006-12-21 16:18:01 得分 0
markTop
108 楼ilovei37()回复于 2006-12-23 10:49:42 得分 0
經典的好文章學習Top
109 楼taiyang902()回复于 2006-12-23 12:48:30 得分 0
对于我来讲是不错
Top
110 楼hnjztyx()回复于 2006-12-24 15:05:29 得分 0
好,不错,顶一下,,也学习学习!!!1Top
111 楼gameboy766(古巴)回复于 2006-12-25 09:15:48 得分 0
markTop
112 楼DengXingJie(杰西)回复于 2006-12-25 10:37:32 得分 0
收藏Top
113 楼aldrt6()回复于 2006-12-25 11:40:56 得分 0
好东西就得顶以下Top
114 楼shgmail()回复于 2006-12-25 14:06:16 得分 0
顶下Top
115 楼sbright()回复于 2006-12-26 11:24:13 得分 0
长知识了Top
116 楼luzhi592()回复于 2007-03-21 11:09:35 得分 0
学习下了
Top
