吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8175|回复: 7
收起左侧

[易语言 转载] 易语言配合VC++写的DLL实现无驱动的反远程线程注入

  [复制链接]
我是人民币 发表于 2014-5-22 21:10
本帖最后由 我是人民币 于 2014-5-22 21:12 编辑

原理如下:
  首先DllMain的第二个参数 ul_reason_for_call,会传入一些信息
  当有线程创建的时候系统会在线程执行前调用一次所有载入到该进程DLL的DllMain函数,这时候,ul_reason_for_call传入的参数是DLL_THREAD_ATTACH,如此一来就方便多了,不必去HOOK其他进程的线程创建函数。
流程如下:
      在DllMain里面判断 ul_reason_for_call = DLL_THREAD_ATTACH
               如果 等于 那么,枚举线程,获得所以线程的入口地址,然后挨个检测入口地址是否为LoadLibraryA  or LoadLibraryW的入口地址
       如果是,那么杀掉,或者默默退出。
不推介杀掉,杀掉后程序一会就回卡死,可能要等系统把所有的DllMain调用完后,线程开始执行了才可以安全杀死吧,可以设置一个定时器,一般DllMain的代码一般很简单,所以把定时器的时序放短一点,500毫秒或者更少【猜测】。

  反线程注入的Dll要用VC++写原因是这样的:
           易语言的Dll入口子程序没有提供ul_reason_for_call这个参数。


编译出来的Dll使用方法很简单,用LoadLibraryA载入到内存就可以了。
522.jpg Anti .zip (299.98 KB, 下载次数: 317)




发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

y79112 发表于 2014-5-22 21:44
额,看看,不太懂。。。。
77341991 发表于 2014-5-22 21:59
        switch (ul_reason_for_call)
        {
        case DLL_PROCESS_ATTACH:                //创建               
                break;
        case DLL_THREAD_ATTACH:
                //这里判断是否被注入
                break;
        case DLL_THREAD_DETACH:
                break;
        case DLL_PROCESS_DETACH:                //结束
                break;
        }
lwj一辈子 发表于 2014-5-23 10:06
Leodinas 发表于 2015-4-3 00:50
下载观看一下!
Leodinas 发表于 2015-4-3 01:34
晕!
没安装SDK
生成报错了~~
530230 发表于 2015-5-30 10:49
kkkkkkkkkkkkkkkkkkkkk
xiaojunxwx 发表于 2015-5-30 11:20
下来研究下谢谢楼主分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 02:29

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表