四入四出神网，解开神网的“注入”谜题！

skyboybone

金山本地kvm 1X

skyboybone

入云

深山红叶__

lixihong10 发表于 2016-4-18 23:00
目前抓的都是这样，其他的就不清楚了。

那墨家小子的ssf是什么情况，comodo开启rd后可以拦到了吗？
然后…插classid来shellexecutehook的不是在外壳进程加载的时候就完成注入了吗？什么又非注入了…

qftest

深山红叶__ 发表于 2016-4-18 23:15
那墨家小子的ssf是什么情况，comodo开启rd后可以拦到了吗？
然后…插classid来shellexecutehook的不是在 ...

严重怀疑comodo非自定规则可以拦截，无论安全模式或疯狂模式，看LZ录像也不过提示“A试图执行B“
我说为嘛VIPRE报Code Injection而不是DLL Injection呢，原来是这么回事
@墨家小子 赌十块钱的，x32 ssf应该会报29而不是36

hklwk

深山红叶__

qftest 发表于 2016-4-18 23:24
严重怀疑comodo非自定规则可以拦截，无论安全模式或疯狂模式，看LZ录像也不过提示“A试图执行B“
我说为 ...

是shellexecutehook，hips基本都会拦截，这已经是很久之前的注入方法了，大概和appinit差不多。
由于我还没有系统地学习过注入和挂钩，我认为像这种和dll有关的壳注入是dllinj,而直接修改进程注入shellcode的是codeinj。
但是，不管怎么样，这种用rd就能拦的注入…

qftest

深山红叶__ 发表于 2016-4-18 23:35
是shellexecutehook，hips基本都会拦截，这已经是很久之前的注入方法了，大概和appinit差不多。
由于我 ...

至少我印象中几年以前MJ科普无进程注入时就有提过，还说在某年在某国开会时提出来的时侯那些老外都听懵了。。。是的，按常理说应该拦截。。。PF、SSF、甚至更早的OA我都有见过类似的报法，只是他当时说得很抽象，我没理解透所以也经常把这几个搞混

qftest

qftest 发表于 2016-4-18 23:46
至少我印象中几年以前MJ科普无进程注入时就有提过，还说在某年在某国开会时提出来的时侯那些老外都听懵了 ...

又仔细看了一遍LZ录像，然后对比我以前的comodo笔记，确实应该拦截啊

LZ没开RD保护？

深山红叶__

qftest 发表于 2016-4-18 23:46
至少我印象中几年以前MJ科普无进程注入时就有提过，还说在某年在某国开会时提出来的时侯那些老外都听懵了 ...

强者没办法，是句柄共享？

qftest

深山红叶__ 发表于 2016-4-19 00:02
强者没办法，是句柄共享？

MJ貌似有提过这方面内容，还有com组件什么的，相对科普较多的是远程线程注入和DLL劫持，其中DLL劫持的科普部份我印象比较深