共享段攻击 Shared Sections' Attacking

标题：共享段攻击 Shared Sections' Attacking
作者：cvcvxk
时间：2011-08-21 21:26:18
链接：http://bbs.pediy.com/showthread.php?t=139116

一般常见的某些软件喜欢使用HHOOK类钩子注入DLL,由于他们多数都抄了流行的那个典范代码中一些东西，比如共享段，对于共享段而言，丫是全宇宙可读可写啊（属性是0xD0000040）
于是一种新型的针对某些软件的某些部件的攻击方式诞生鸟~
这里以金山KSAFE的ksfmon.dll举个例子

IDA中打开的样子

我震惊的发现HHOOK~~
想到什么了？
对如果我们直接对丫进行XX
测试代码：

代码:

DWORD ptr=*(DWORD *)(GetModuleHandleA("ksfmon.dll")+0x139000+0x0C);
UnhookWindowsHookEx((HHOOK)ptr);

同类软件也存在类似的问题，比某那啥，某那啥~这里就不一一列举了~这种攻击有时候会造成杀毒软件直接崩溃退出（某XX的共享段清0后主进程自动退出），有的则造成监控状态异常~