牛刀小试，全面超越冰刃的新ARK工具XueTr

显示全部楼层 · 发表于 2009-3-11 22:46:09

原帖由 tawny2008 于 2009-3-11 22:44 发表

AppInit_Dlls操作？陈辉兄何不出个评测贴

这个不太好有点攻击的意味在里面
你大可自己测试
你编译一个空的DLL在AppInit_Dlls里指明这个DLL重启然后运行保险箱保护的你的程序你会发现保险箱无法防止这个DLL被注入进被保护的进程
但是天琊可以防住

显示全部楼层 · 发表于 2009-3-11 22:46:30

原帖由 chenhui530 于 2009-3-11 22:43 发表
所以大家在使用保险箱的时候千万注意
现在的多款保险箱都没能防住此行为

看来世界还是很危险的，幸好我用EQ

显示全部楼层 · 发表于 2009-3-11 22:47:46

原帖由 dl123100 于 2009-3-11 22:45 发表

许多知名安软能不能防注入，更不要说一般的了。

？？？EQ可以拦注入啊？？

显示全部楼层 · 发表于 2009-3-11 22:47:53

原帖由 dl123100 于 2009-3-11 22:45 发表

许多知名安软能不能防注入，更不要说一般的了。

对
AppInit_Dlls是比较邪恶的一种，而且是由系统来帮你完成的，可以说是一个大漏洞

显示全部楼层 · 发表于 2009-3-11 22:48:54

原帖由 tawny2008 于 2009-3-11 22:47 发表

？？？EQ可以拦注入啊？？

是全局钩子吧
全局钩子挂一个KeUserModeCallback就OK了

显示全部楼层 · 发表于 2009-3-11 22:49:40

原帖由 tawny2008 于 2009-3-11 22:47 发表

？？？EQ可以拦注入啊？？

先运行病毒，再运行EQ，会被注入的。

显示全部楼层 · 发表于 2009-3-11 22:50:38

这就是挂KeUserModeCallback的缺点

显示全部楼层 · 发表于 2009-3-11 22:50:52

原帖由 chenhui530 于 2009-3-11 22:46 发表

这个不太好有点攻击的意味在里面
你大可自己测试
你编译一个空的DLL在AppInit_Dlls里指明这个DLL重启然后运行保险箱保护的你的程序你会发现保险箱无法防止这个DLL被注入进被保护的进程
但是天琊可以防住

幸好还有一个可以防，以后我就用天琊好了

显示全部楼层 · 发表于 2009-3-11 22:51:29

加载User 32.dll 的可执行文件随系统启动都会加载 AppInit DLL下的dll
由系统完成

显示全部楼层 · 发表于 2009-3-11 22:52:47

原帖由 dl123100 于 2009-3-11 22:49 发表

先运行病毒，再运行EQ，会被注入的。

病毒不用加驱，EQ也会被注入？

[原创文章] 牛刀小试，全面超越冰刃的新ARK工具XueTr