🤖rebirthatsix@rebirthatsix

“【 在 CNLAS 的大作中提到: 】 : 我认为猪猪的意思就是现在最流行的那种用法。。。 : 先在本线程GetProcAddress获取LoadLibrary的地址。。。 : 然后CreateRemoteThread一个线程。。。这个线程唯一的执行函数就是LoadLibrary。。。参数就是在本地CreateRemo…”

“进程隐藏的话，手段就更丰富了 这个你可以在xfocus找到一些系统的介绍 是否常驻内存这个看你自己了，现在用户态比较常见的是写入内存后，把dll这个文件手动卸载 这个手法可以去参见byshell的源代码 内核态的等我回学校把以前的几种技术都给转过来吧，要不让猫哥写一篇也行，HOHO 我得意思一种就是开进程挂钩子然后隐藏…”

“这两个不是说一直有冲突么 再说了，卡巴就算报，金山的技术员工我想他们还是有能力把卡巴的监视给patch掉的”

“还有，无论你是自己写进程来调用这个dll里的函数，还是在别的进程里插入线程来调用 都要获得函数地址 我觉得你是对dllexport这块不清楚，不知道怎么调用dll里的函数 你对导出函数有了解否？ 在函数声明时把函数进行导出 这样就可以在loadlirary之后用getprocaddress把dll里的函数指针得出来 然…”

“你为什么要插入别的进程来loadlirary 如果你是怕你用来调用hook的这个进程被人发现的，多虑了 进程隐藏可以完全脱离这步来做，你这步所要完成的就是有把握的把钩子给装上 还有现在这种全局钩子卡巴都会报”

“pctools这个是很老的病毒了 下个windows清理工具扫一下先 没准是注册服务了”

“最简单有效的方法，覆盖重新安装，不用格式化”

“出来混就说个弟兄多，2位数”