钩子注入
关注
分享
扫一扫
文章平均质量分 80
joinpark
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
在dump中查找lowlevel中的数据
在dump中,查找entry.asm的二进制字节 _RtlFindActivationContextSectionString的二进制: 0:000> s 0012ff40 L2000000 8B 46 20 8A 56 2C 00000000`00500cd8 8b 46 20 8a 56 2c 88 10-8b 56 2d 89 50 01 b9 10 .F .V,...V-.P... 0:000> u 00500cd8 00000000`00500cd8 8b4620 ...原创 2021-08-18 18:20:15 · 309 阅读 · 0 评论 -
Sandboxie注入notepad.exe进程空间中的变化
m_LdrInitializeThunk = 0x000000007775c320 正常的代码 000000007775C320 push rbx 000000007775C322 sub rsp,20h 000000007775C326 mov rbx,rcx 000000007775C329 call 000000007775C350 000000007775C32E mov dl,1 000000...原创 2021-08-12 17:01:20 · 278 阅读 · 0 评论 -
如何知道程序是否被挂钩
当程序被挂钩,可以通过对比二进制和加载空间的数据进行对比,可以得知哪些地方被修改了。 使用工具检查 上图程序下了5个断点,可以看到断点的地方的字节变为了CC。原创 2020-07-25 16:29:37 · 629 阅读 · 0 评论