[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
12345
返回列表 发帖
ht河豚

Rank: 2

帖子
98 
积分
116 
技术
4  
捐助
0  
注册时间
2012-7-5 
31 跳转到 »
发表于 2012-10-5 12:38 | 只看该作者
回复 27# netbenton
我家双核2.5GHz,是不是你电脑空闲时时CPU本来就高??

TOP

garyng

Rank: 5Rank: 5

帖子
566 
积分
707 
技术
12  
捐助
0  
注册时间
2011-6-27 
32
发表于 2012-10-5 14:23 | 只看该作者
回复 30# defanive

哦~我还想问为什么循环检测站的CPU还那么低呢,原来是用了hook!
Hook是用什么方法实现的啊?JMP跳转到自己的函数,还是IAT?
http://garyngzhongbo.blogspot.com

TOP

garyng

Rank: 5Rank: 5

帖子
566 
积分
707 
技术
12  
捐助
0  
注册时间
2011-6-27 
33
发表于 2012-10-5 14:38 | 只看该作者
回复 19# defanive


Public Declare Function timeGetTime Lib "winmm.dll" Alias "timeGetTime" () As Long
http://garyngzhongbo.blogspot.com

TOP

garyng

Rank: 5Rank: 5

帖子
566 
积分
707 
技术
12  
捐助
0  
注册时间
2011-6-27 
34
发表于 2012-10-5 14:51 | 只看该作者
还有就是 语法有点复杂
不适合新手学习啊。。
http://garyngzhongbo.blogspot.com

TOP

netbenton

Rank: 8Rank: 8

帖子
675 
积分
3226 
技术
75  
捐助
101  
注册时间
2009-4-10 
35
发表于 2012-10-5 16:57 | 只看该作者
本帖最后由 netbenton 于 2012-10-5 17:00 编辑

回复 31# ht河豚
空闲时不高,就是放电影也只有10%左右,是不是要双核以上才能运行留畅哦?

TOP

lllsoslll

Rank: 2

帖子
97 
积分
164 
技术
6  
捐助
0  
注册时间
2011-3-29 
36
发表于 2012-10-5 19:58 | 只看该作者
本帖最后由 lllsoslll 于 2012-10-5 20:17 编辑

回复 18# netbenton

回复 1# defanive

doskey.exe,conset.exe 是如何做到免杀的? 远程线程注入是不是有些兴师动众,邪乎?
我把注意力放在 doskey.exe 和论坛的 conset.exe 的实现上,

感兴趣加入此贴讨论
http://www.bathome.net/thread-19036-1-7.html

这个远程线程注入不知道有什么特殊的地方,也许可以借鉴下:
http://www.codeproject.com/Artic ... t-Variables-of-Remo
SOS --- >> lllsoslll@163.com

TOP

defanive

Rank: 7Rank: 7Rank: 7

帖子
957 
积分
4938 
技术
72  
捐助
0  
注册时间
2008-10-31 
37
发表于 2012-10-6 08:20 | 只看该作者
回复 36# lllsoslll
修改其他进程的环境变量早已实现,无需注入也可以,CAPI的非注入版就使用的此方法
至于免杀我十分感兴趣,方法差不多不知为何他们可以做到
第三方命令行工具编程
Http://Hi.Baidu.Com/Console_App

TOP

3dnowex

Rank: 1

帖子
积分
29 
技术
0  
捐助
0  
注册时间
2010-7-8 
38
发表于 2012-10-8 20:52 | 只看该作者
本帖最后由 3dnowex 于 2012-10-8 21:08 编辑

实测win7x64下出错,0xc0000018
用lordpe修改.text区段标志为内存中可共享,修改.rdata区段标志位内存中可共享,可写入。至此capi在win7x64下注入成功。
因为win7x64下windows\system32\cmd.exe比win7x32下的大100多KB,貌似实现了一个转向功能,就是运行cmd.exe时候根据系统自动转入windows\syswow64\cmd.exe,此时会注入失败。单独使用win7x64的syswow64下的cmd.exe和win7x32下的system32\cmd.exe均可以注入成功。实测在reactos的cmd.exe中也可以注入成功。

TOP

defanive

Rank: 7Rank: 7Rank: 7

帖子
957 
积分
4938 
技术
72  
捐助
0  
注册时间
2008-10-31 
39
发表于 2012-10-9 06:04 | 只看该作者
回复 38# 3dnowex
我的意思就是这样,批处理要判断自己是不是在x64环境下
如果是的话,批处理需要自己启动WOW64下的cmd.exe,这时候才是32位进程,才可以注入
第三方命令行工具编程
Http://Hi.Baidu.Com/Console_App

TOP

defanive

Rank: 7Rank: 7Rank: 7

帖子
957 
积分
4938 
技术
72  
捐助
0  
注册时间
2008-10-31 
40
发表于 2012-10-9 10:54 | 只看该作者
更新:1.1, Build 1D8B0, x32
第三方命令行工具编程
Http://Hi.Baidu.Com/Console_App

TOP

defanive

Rank: 7Rank: 7Rank: 7

帖子
957 
积分
4938 
技术
72  
捐助
0  
注册时间
2008-10-31 
41
发表于 2012-10-9 10:55 | 只看该作者
回复 32# garyng
修改函数头的JMP跳转
第三方命令行工具编程
Http://Hi.Baidu.Com/Console_App

TOP

garyng

Rank: 5Rank: 5

帖子
566 
积分
707 
技术
12  
捐助
0  
注册时间
2011-6-27 
42
发表于 2012-10-9 11:29 | 只看该作者
回复 41# defanive


   这种方法不会漏钩子么?
http://garyngzhongbo.blogspot.com

TOP

defanive

Rank: 7Rank: 7Rank: 7

帖子
957 
积分
4938 
技术
72  
捐助
0  
注册时间
2008-10-31 
43
发表于 2012-10-9 11:34 | 只看该作者
回复 42# garyng
不会,怎么会呢?
执行API都是把代码跳转到API的代码处执行,我把API的代码改成了JMP到我的函数
因此只要是调用API都会JMP到我的函数
第三方命令行工具编程
Http://Hi.Baidu.Com/Console_App

TOP

garyng

Rank: 5Rank: 5

帖子
566 
积分
707 
技术
12  
捐助
0  
注册时间
2011-6-27 
44
发表于 2012-10-9 11:47 | 只看该作者
回复 43# defanive

当调用HOOKED API时,就会jmp到自定义函数,当自定义函数处理玩后,就会把Api恢复,然后就返回,
可是在恢复api时刚刚好别的线程调用怎么办?


但是,cmd下应该不会发生这种事吧,毕竟是单线程的
http://garyngzhongbo.blogspot.com

TOP

defanive

Rank: 7Rank: 7Rank: 7

帖子
957 
积分
4938 
技术
72  
捐助
0  
注册时间
2008-10-31 
45
发表于 2012-10-9 11:56 | 只看该作者
回复 44# garyng
我的方法比较巧妙,不需要恢复API
原理很简单,仔细研究一下API的函数头就知道了
而且你说的也对,CMD是单线程的,不会出现这种情况
我的方法只是为了提高速度而已
第三方命令行工具编程
Http://Hi.Baidu.Com/Console_App

TOP

12345
返回列表