请选择 进入手机版 | 继续访问电脑版

死性不改BBS - 网维行业自由、中立的技术与信息交流平台

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
热搜: 万能包 GHO
绝地求生(外服)公告 | 绝地求生(腾讯)公告英雄联盟-官网公告 | 官方论坛 | 服务器状态穿越火线-官网公告 | 官方论坛地下城与勇士-官网公告 | 官方论坛
查看: 3111|回复: 16

[求助] 关于.DLL 文件注入的问题查找,和封禁。

[复制链接]

59

主题

1074

帖子

0

精华

级别:大学

人气
25
精华
0
金币
330
经验
8770
注册时间
2015-12-16

活跃会员最佳新人热心会员论坛元老

发表于 2019-6-18 18:44:08 | 显示全部楼层 |阅读模式

别装深沉了,赶快来凑凑热闹吧!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如题,求助关于.DLL 文件注入的查找,和思路。
有点小问题,需要查找到某进程被DLL注入需要封禁该DLL,尝试使用进程树procexp、PCHunter64、Procmon,没找到方式。


求助论坛大佬,还望各位大佬不吝赐教。

守 一 座 空 城,恋 一 个 旧 人。

72

主题

2710

帖子

0

精华

级别:大学

www.51524.com

人气
31
精华
0
金币
388
经验
13312
注册时间
2015-12-26

活跃会员热心会员论坛元老

QQ
发表于 2019-6-18 19:04:49 | 显示全部楼层
你用的工具都太知名了  会被检测到的

除非用修改版的 改了驱动特征的  

我也没有 但我见过有人用过。
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

59

主题

1074

帖子

0

精华

级别:大学

人气
25
精华
0
金币
330
经验
8770
注册时间
2015-12-16

活跃会员最佳新人热心会员论坛元老

 楼主| 发表于 2019-6-18 21:26:26 | 显示全部楼层
落英缤纷 发表于 2019-6-18 19:04
你用的工具都太知名了  会被检测到的

除非用修改版的 改了驱动特征的  

有点头大。
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

2

主题

141

帖子

0

精华

级别:高中

人气
0
精华
0
金币
139
经验
2896
注册时间
2015-12-16
发表于 2019-6-18 21:53:03 | 显示全部楼层
这些工具都被特征了!
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

27

主题

1874

帖子

0

精华

级别:高中

人气
1
精华
0
金币
4001
经验
6506
注册时间
2018-10-27

活跃会员热心会员

QQ
发表于 2019-6-18 22:51:40 | 显示全部楼层
万能的proceesmonitor就可以解决了
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

0

主题

10

帖子

0

精华

级别:小学

人气
0
精华
0
金币
58
经验
657
注册时间
2018-3-17
发表于 2019-6-19 17:41:13 | 显示全部楼层
你知道dll名字吗?
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

59

主题

1074

帖子

0

精华

级别:大学

人气
25
精华
0
金币
330
经验
8770
注册时间
2015-12-16

活跃会员最佳新人热心会员论坛元老

 楼主| 发表于 2019-6-19 23:35:52 | 显示全部楼层

不知道,只知道是以DLL方式注入。没有搞过这种,没什么思路和条理
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

8

主题

754

帖子

0

精华

级别:大学

人气
24
精华
0
金币
428
经验
8010
注册时间
2016-1-17

活跃会员热心会员优秀会员突出贡献论坛元老

发表于 2019-6-20 14:00:34 | 显示全部楼层
排除微软后的DLL都是红字那么明显,问什么工具?什么工具都可以看,注入进去的基本不可能卸载,卸载大概率会让程序崩溃,都不知道你们在说什么会被检测,想太多了?
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

8

主题

754

帖子

0

精华

级别:大学

人气
24
精华
0
金币
428
经验
8010
注册时间
2016-1-17

活跃会员热心会员优秀会员突出贡献论坛元老

发表于 2019-6-20 14:05:40 | 显示全部楼层
现在的广告,不让你启动调试工具还有可能,检测到调试工具后不启动广告的几乎都没了,如果检测不启动,那我做个假窗口假程序,让你以为我开着调试,天天无广告多好?不要想的太美
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

0

主题

39

帖子

0

精华

级别:小学

人气
0
精华
0
金币
74
经验
646
注册时间
2019-3-8
发表于 2019-6-20 14:25:33 | 显示全部楼层
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

98

主题

1436

帖子

0

精华

级别:大学

人气
17
精华
0
金币
321
经验
11423
注册时间
2015-12-16

活跃会员热心会员

发表于 2019-6-20 15:16:22 | 显示全部楼层
我也遇到了,万象OL提示核心被拦截,存在安全风险,一个小框框在那里一直闪,不知道该如何拦截
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

59

主题

1074

帖子

0

精华

级别:大学

人气
25
精华
0
金币
330
经验
8770
注册时间
2015-12-16

活跃会员最佳新人热心会员论坛元老

 楼主| 发表于 2019-6-20 16:19:33 | 显示全部楼层
lessf 发表于 2019-6-20 14:00
排除微软后的DLL都是红字那么明显,问什么工具?什么工具都可以看,注入进去的基本不可能卸载,卸载大概率 ...

的确很多未验证签名的模块,没搞过这种DLL,所以没什么思路。
守 一 座 空 城,恋 一 个 旧 人。

59

主题

1074

帖子

0

精华

级别:大学

人气
25
精华
0
金币
330
经验
8770
注册时间
2015-12-16

活跃会员最佳新人热心会员论坛元老

 楼主| 发表于 2019-6-20 16:22:05 | 显示全部楼层
热心网友 发表于 2019-6-20 14:25
https://pan.linsan.org/手工查杀教程/

感谢大佬。我看一下。
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

17

主题

140

帖子

0

精华

级别:初中

人气
1
精华
0
金币
48
经验
1031
注册时间
2017-7-9
发表于 2019-6-21 00:14:31 | 显示全部楼层
DLL加载后可以获取PEB结构,通过PEB结构获取到模块加载表,然后将自己从表中抹除。
正常的获取已加载的模块表也是通过PEB结构来查找的,所以不会找到那个故意抹除自己信息的模块。
DLL还会有PE特征(有些软件可以通过检查内存有没有PE特征来判断是否属于隐藏的模块),这个也可以被抹除。
模块在进程内部要运行的话,据我所知就是3种方式,一种是线程,一种是timer,一种是进程消息
线程的话,检查每个线程的起始地址,可以得出每个线程属于哪个内存块,再根据内存块找到属于哪个模块。
timer则有个句柄表,获取这个表,再根据每个句柄获取到它们的执行指针,再通过指针指向内存找出所属模块。
进程消息,分为两种一种是消息HOOK还有一种是SetWindowLong,两者皆会调用一个回调函数,通过回调函数找出每个调用指针,再根据指针指向的内存找出所属模块。
以上为理论,具体的话看你有没时间去搞这些东西了。
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

59

主题

1074

帖子

0

精华

级别:大学

人气
25
精华
0
金币
330
经验
8770
注册时间
2015-12-16

活跃会员最佳新人热心会员论坛元老

 楼主| 发表于 2019-6-21 03:26:18 | 显示全部楼层
q309499712 发表于 2019-6-21 00:14
DLL加载后可以获取PEB结构,通过PEB结构获取到模块加载表,然后将自己从表中抹除。
正常的获取已加载的模 ...

百度了一下PEB,这个应该涉及到编程开发了,对我可能的确有些难度。
还是感谢大佬热心回复,我在看下其他大佬的建议。

感谢感谢。
守 一 座 空 城,恋 一 个 旧 人。

16

主题

240

帖子

0

精华

级别:高中

人气
3
精华
0
金币
174
经验
4149
注册时间
2015-12-21

突出贡献论坛元老

发表于 2019-6-22 23:08:11 | 显示全部楼层
本帖最后由 IT小哥 于 2019-6-22 23:17 编辑

我平时用的这几个软件没有问题。
https://pan.baidu.com/s/13klFWIFFk0JbkI2nAvKnOw  提取码: 8gqa
https://pan.baidu.com/s/1VejuDLSMoZpk51nv30HBCw 提取码:b0vn
可以参考下。不行去卡饭看下,这方面东西比较多。
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

59

主题

1074

帖子

0

精华

级别:大学

人气
25
精华
0
金币
330
经验
8770
注册时间
2015-12-16

活跃会员最佳新人热心会员论坛元老

 楼主| 发表于 2019-6-22 23:11:18 | 显示全部楼层
IT小哥 发表于 2019-6-22 23:08
平时用的都是PCHunter64这个可以呀。什么进程怎么牛?

我把未经验证签名的DLL过滤后,应该如何禁止DLL加载或者找到如何释放的,解决源头。因为没怎么搞过DLL,所以没方向和思路。

请大佬不吝赐教
守 一 座 空 城,恋 一 个 旧 人。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|死性不改BBS - 网维行业自由、中立的技术与信息交流平台 ( 浙ICP备14029261号 )

浙公网安备 33010302001723号

GMT+8, 2020-9-20 09:54 , Processed in 0.091054 second(s), 26 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表