手动屏蔽winspool.drv劫持 —— 以易语言EXE为例

ssjjdns · 发表于 2023-9-26 16:40

回复学习看看

旧年 · 发表于 2023-9-26 17:00

感谢分享

520pojie · 发表于 2023-9-26 17:53

是检测吧

leicaipan · 发表于 2023-9-26 18:19

[吾爱汇编论坛52HB.COM]-感谢楼主热心分

千里丶 · 发表于 2023-9-26 18:26

感谢分享教程

Nooby · 发表于 2023-9-26 18:35

谢谢分享

酒醒黄昏 · 发表于 2023-9-26 18:38

谢谢分享

boot · 发表于 2023-9-26 18:49

lyl537c 发表于 2023-9-26 14:24
能劫持的方法 DLL很多，能不能把这些dll都屏蔽了。

举例：
在原始的这一行<file name="winspool.drv" loadFrom="%SystemRoot%\system32\winspool.drv" />
再添加一行，以version.dll为例，

<file name="version.dll" loadFrom="%SystemRoot%\system32\version.dll" />

具体还有哪些dll，需要你自己调试获知。添加屏蔽，让软件不再加载目录下的劫持dll后，建议再添加例如vmp的壳类资源保护。这种方法比较友好，但是有局限性。

即使你在R3全屏蔽了DLL劫持或者禁止读写。我还可以在R0实现注入/读写，目前已经改好相对完善的框架了。

遇见叶子 · 发表于 2023-9-26 19:38

谢谢分享

lvkeqin · 发表于 2023-9-26 19:51

感谢分享

		自动登录	找回密码
密码			立即注册

[其他图文] 手动屏蔽winspool.drv劫持 —— 以易语言EXE为例