前段时间被cnnic骚扰了一下,不爽,逆了一点驱动代码,玩rootkit的牛就不用看了.
有些东西也没搞很清楚,不瞎解释了。嵌入的Dll是我自己的,只显示MessageBox
(cdnprot.sys里的还有些处理,如自己调DllMain)。
我是用OD来试的,可以用,但对ExeCryptor主程序不能停到TLS Callback了,而是
停在壳入口点,F9报检测到debugger,没时间去深究了;-)
case IOCTL_SET_DEBUGGEE_INFO:
// 被调试进程Pid,Tid
ObjPid = (HANDLE)*(PULONG)InputBuffer;
ObjMainTid = (HANDLE)((PULONG)InputBuffer)[1];
Cid.UniqueProcess = ObjPid;
Cid.UniqueThread = ObjMainTid;
InjectWithApc(&Cid);
....
- 标 题:逆的一段注入代码
- 作 者:softworm
- 时 间:2008-05-09 10:06
- 链 接:http://bbs.pediy.com/showthread.php?t=64533