|
|
so61pi wrote:
MinhHung1122 wrote:
có rất nhiều,có 1 số nó không hiện lên, có một số sử dụng các chương trình thì ta thấy nó, nhưng một số không thể thấy... hal.dll chẳng hạn
Xem bằng Process Explorer process explorer.exe, unikeynt.exe nhưng không thấy hal.dll xuất hiện, có gì sai chăng.
nó nằm ở address lớn hơn 0x80000000, đương nhiên là không đọc được cái j ở đó, nhưng nó đã nằm ở đó, có nhiều cái k nhìn thấy được đâu.
- Sau mình nói cái j cũng có người phản bác thế, sao k xem người khác nói cái j rồi phản bác lại-> cái này người ta gọi là j nhỉ...
|
|
|
xwhitelight wrote:
MinhHung1122 wrote:
không bao giờ có chuyện này xảy ra, vì từ winxp trở đi thì mọi ứng dụng chạy trên windows thì các thư viện kernel32.dll, ntdll.dll,... sẽ tự động load vào chương trình
Hahaha. Buồn cười quá. Thử xem cái Hello world này đi, nó chỉ import kernel32.dll với user32.dll thôi, còn cái ntdll.dll ở đâu rồi? (Tất nhiên những cái trong dấu ... nữa.)
http://www.mediafire.com/?nll1d3o4ix3achr
Em thấy VC++ luôn phải dùng kernel32.dll để dùng cho các hàm môi trường, nhưng ko rõ các chương trình khác thì sao.
Nản
|
|
|
so61pi wrote:
Cái phần 3 chấm (...) ấy là gồm những gì vậy bạn?
có rất nhiều,có 1 số nó không hiện lên, có một số sử dụng các chương trình thì ta thấy nó, nhưng một số không thể thấy... hal.dll chẳng hạn
so61pi wrote:
IO thì liên quan gì ở đây nhỉ?
để xử lý thì cần IO, kể cả message thì cũng IO đấy thôi, IO ra màng hình đấy, hay read/write... tất cả điều phải IO
|
|
|
biết syscall không, hahaha, không cần bất cứ dll nào à, kể cả syscall cũng gọi mà... tới khi nào tìm được cách nào mà không sử dụng syscall để I/O(API) đi rồi nói nhá( không chơi DOS)
|
|
|
chiro8x-c wrote:
Bạn chắc rằng bạn nói đúng chứ ? Tài liệu kỹ thuật nào cho phép bản khẳng định hùng hồn vậy. Bạn hoàn toàn có thể viết chương trình không sử dụng bất cứ một thư viện nào.
à, không phaỏi winxp, mà là win2k trở lên.
Không có time để chứng minh đâu, tự tìm giùm mình nhá
|
|
|
mà quên nữa, máy cái lỗi cve hay j j đó được công bố trước kia có thể được chỉnh sửa lại để by pass )
|
|
|
TQN wrote:
Bây giờ em cũng mệt rồi, nên em chỉ nói ngắn gọn các công đoạn của shellcode:
1. Tạo URL string.
2. Tạo API name bằng cách mov từng DWORD API name vào buffer.
3. Lấy PEB address, duyệt module link list để lấy kernel32.dll base address
4. Scan export table của kernel32.dll để lấy address của GetProcAddress
5. Download file image.jpg về %Temp%\randomname
6. Nếu download thành công, call CreateProcess với param là file jpg đó. File đó thực chất là file exe, mở đường cho download một loạt malware khác của mấy "ông nội" STL về máy victim (lại victim nữa, nhắc lại niềm đau của em).
7. Nếu download không thành công, TerminateProcess luôn (WinWord đi luôn).
nếu như thế thì cần phải xác định được hệ điều hành của victim à
->với asrl+dep thì đi ăn cám
|
|
|
không bao giờ có chuyện này xảy ra, vì từ winxp trở đi thì mọi ứng dụng chạy trên windows thì các thư viện kernel32.dll, ntdll.dll,... sẽ tự động load vào chương trình
|
|
|
post một file .exe trong ổ D:\ lên đi, có thể nó bị nhiễm virus xxx tôi không biết phải gọi là gì nhưng nó ký sinh vào file .exe(thường là vị trí endofcode) làm tăng kính thước lên và khi chạy file exe đó thì nó sẽ chạy trước sao khi lây nhiễm vào máy xong thì trả quyền điều khiển lại cho file chủ
mình đã xem 2 file .dll rồi :
MPKrnl.dll: chứa hàm KrnlMsgProc
MKMKrnl: chứa hàm KMainProc
|
|
|
|
|
|
|