白加黑保姆教程通杀主流杀软

文章预览

简单来说就是通过白名单的exe运行来去加载恶意的dll达到shellcode加载的目的，那么就需要对exe加载的dll进行了解 DLL前置知识 DLL路径搜索目录顺序 • 1. 程序所在目录 • 2. 程序加载目录（SetCurrentDirectory） • 3. 系统目录即 SYSTEM32 目录 • 4.16 位系统目录即 SYSTEM 目录 • 5.Windows 目录 • 6.PATH 环境变量中列出的目录 Know DLLs 注册表项 Know DLLs注册表项里的DLL列表在应用程序运行后就已经加入到了内核空间中，多个进程公用这些模块，必须具有非常高的权限才能修改 Know DLLs 注册表项的路径为：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs 劫持应用中存在的dll 直接转发 Direcrt Forwarding 直接转发对主程序来说，其实就是调用了原来 dll 的某个函数。 1.修改导出表 在导出表中将要转发的函数入口地址指向另一个DLL对应函数的入口地址 2.实际调用过 ………………………………