首页
论坛
课程
招聘
[原创]win7 32位进程注入64位进程
2015-8-31 22:13 14843

[原创]win7 32位进程注入64位进程

2015-8-31 22:13
14843
看雪的编辑实在是不能匹配它的牛逼程度。
上word吧。

rt,谈了win7下远程线程注入session隔离的问题。
谈了win7 64系统下32位程序注入32位dll到32位进程,注入64位dll到64位进程。

如果有错误,请不吝指正。
646535763@qq.com

第五届安全开发者峰会(SDC 2021)议题征集正式开启!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (22)
雪    币: 4826
活跃值: 活跃值 (370)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
b23526 活跃值 2015-8-31 22:36
2
0
还是喜欢PDF档,来份PDF整合档
[ATTACH]32位进程注入64位进程和32位进程[/ATTACH]
上传的附件:
雪    币: 238
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
封心锁爱 活跃值 2015-8-31 22:54
3
0
学习一下
雪    币: 105
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
helyna 活跃值 2015-8-31 23:37
4
0
向X64 csrss.exe创建远程线程一直蓝屏怎么解决呢?
雪    币: 54
活跃值: 活跃值 (135)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
liycchd 活跃值 2015-9-1 09:08
5
0
学习学习
雪    币: 481
活跃值: 活跃值 (17)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
goddkiller 活跃值 2015-9-1 09:31
6
0
http://blog.rewolf.pl/blog/?p=102

原文章出处

---------------------

看到github是原作者的。。。。
雪    币: 325
活跃值: 活跃值 (30)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
地狱怪客 活跃值 2 2015-9-1 11:21
7
0
[QUOTE=b23526;1389694]还是喜欢PDF档,来份PDF整合档
[ATTACH]32位进程注入64位进程和32位进程[/ATTACH][/QUOTE]

说实话,微软为什么要
给程序员这完全不安全的 API
雪    币: 26
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
isboring 活跃值 2015-9-9 08:22
8
0
dll处理问题,你在这个进程里调用的函数全部直接进入驱动了
所以。。。有些函数是不能乱用的
雪    币: 113
活跃值: 活跃值 (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
dalerkd 活跃值 1 2015-9-9 11:14
9
0
我是来mark然后学习
雪    币: 12
活跃值: 活跃值 (253)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
猪会被杀掉 活跃值 1 2015-9-9 11:22
10
0
请移步
[URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL]
看下小弟写的文章.

雪    币: 2214
活跃值: 活跃值 (380)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
layerfsd 活跃值 4 2015-9-9 11:51
11
0
32注入64不难的,特别是楼主提那个外国人的库,结合自己写一些shellcode,例如dllbuff注入,挺好玩的
雪    币: 545
活跃值: 活跃值 (62)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
thisisroot 活跃值 2015-9-9 11:52
12
0
多谢楼主分享了!
雪    币: 105
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
helyna 活跃值 2015-9-10 16:59
13
0
汗!没写DLL,就是shellcode,就执行了个i=i+1就蓝屏,是远程线程注入进去的
雪    币: 105
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
helyna 活跃值 2015-9-10 17:07
14
0
[QUOTE=猪会被杀掉;1391218]请移步
[URL="http://bbs.pediy.com/showthread.php?t=203140"]http://bbs.pediy.com/showthread.php?t=203140[/URL]
看下小弟写的文章.[/QUOTE]

我看了,我感觉和你写的也差不多啊!可能我哪个地方写错了
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
丶傃 活跃值 2015-9-10 17:36
15
0
mark感谢分享
雪    币: 32
活跃值: 活跃值 (174)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
fishleong 活跃值 2015-9-14 18:18
16
0
支持,好东西,曾经碰过这问题!
雪    币: 142
活跃值: 活跃值 (19)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
lxsgbin 活跃值 1 2015-10-25 12:24
17
0
试了下32位执行64位代码
        push 33h
        call @F
        @@:add dword ptr [esp],5
        retf

没发现跳到64位执行啊,cs寄存器也没变成0x33 。跳到了ntdll_RtlUserThreadStart:
雪    币: 101
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小菜举手 活跃值 2015-10-26 15:01
18
0
mark 好东西
雪    币: 186
活跃值: 活跃值 (17)
能力值: ( LV12,RANK:205 )
在线值:
发帖
回帖
粉丝
coolboyme 活跃值 2 2015-11-23 17:37
19
0
http://www.vxheaven.org/lib/vrg02.html     备忘
雪    币: 142
活跃值: 活跃值 (19)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
lxsgbin 活跃值 1 2015-12-27 16:41
20
0
win8.1 环境下64位的ntdll.dll  的基础地址超过0X80000000
没办法获取基础地址。
请问要怎么办?
上传的附件:
雪    币: 169
活跃值: 活跃值 (244)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
Netfairy 活跃值 11 2015-12-27 17:02
21
0
感谢分享
雪    币: 314
活跃值: 活跃值 (34)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
heihu 活跃值 2015-12-27 19:44
22
0
X64能否加载32位的dll?如何加载?
雪    币: 14
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jpinglove 活跃值 2015-12-31 09:52
23
0
下来学习一下.
游客
登录 | 注册 方可回帖
返回