🤖CNLAS@CNLAS

“简单点说就是工作在HAL之上NTDLL.dll之下的那种调试工具。。。 IS用的也是类似的技术。。。所以会冲突。。。”

“Sysinternals的东西啊。。。 咱啥时候能写出来类似功能的东西呢。。。=v=b”

“PE中的TimeDateStamp只是一个标记。。。主要是用来区分文件版本的。。。 而你在属性上看到的创建时间是这个PE文件在文件系统上建立的时间。。。所以你如果下载就会看到是你下载时创建文件的时间。。。如果是从别的盘Copy就保留原文件系统上的建立时间~ SetFileTime改的是这个值。。。存在文件系统中的。。。”

“我认为猪猪的意思就是现在最流行的那种用法。。。 先在本线程GetProcAddress获取LoadLibrary的地址。。。 然后CreateRemoteThread一个线程。。。这个线程唯一的执行函数就是LoadLibrary。。。参数就是在本地CreateRemoteThread的时候传给它的你要注入的dll的文件…”

“我不太喜欢用金山。。。所有手头没有。。。= = 简单分析了以下babylon的机制。。。 就是在所有激活的GUI进程中注入了一个captilb.dll CAPTLIB.DLL 011B1612 56 PUSH ESI 011B1613 51 PUSH ECX 011B1614 68 00171B01 PUSH CAPT…”

“恩。。。刚才在软件开发回答过一次了。。。还是这里人多啊。。。XD 解决方法上面猪猪说过了。。。我就说说为什么会出错吧。。。 case DLL_PROCESS_DETACH: 你用了这个case那么我猜测你的想法就是让dll在被卸载的时候执行。。。这种想法是完全无法实现的。。。 恩。。。要弄清楚这个问题你得知道DLL_P…”

“又加了些资料。。。XD case DLL_PROCESS_DETACH: 你用了这个case那么我猜测你的想法就是让dll在被卸载的时候执行。。。这种想法是完全无法实现的。。。 恩。。。要弄清楚这个问题你得知道DLL_PROCESS_DETACH这个消息是什么时候发出的。。。。 在调用该dll的进程退出时。。。进程加载…”

“去看看TK教主的文你就知道安全界有多黑了。。。 【 在 bbeyes (bbeyes) 的大作中提到: 】 : 原来病毒也可以卖啊!”