不是阿 都不加载同目录下的DLL了 2009/1/12 void <[email protected]>
> ie7有问题? 我用得好好的 > > ------------------------------ > void > 2009-01-12 > ------------------------------ > *发件人:* raystyle > *发送时间:* 2009-01-12 12:48:16 > *收件人:* ph4nt0m > *抄送:* > *主题:* [Ph4nt0m] Re: 关于GH0ST的改造。。DLL挟持 > > - - 问下楼上的VOID牛,现在的IE咋没这个BUG了。 > > 2009/1/7 void <[email protected]> > >> 直接修改pediy的lpk.dll劫持例子就行了 >> 在加密与解密(第三版)光盘有源码: >> >> \chap18\18.2 内存补丁\18.2.4 DLL劫持技术\lpk\src\ >> lpk.cpp >> >> ------------------------------ >> void >> 2009-01-07 >> ------------------------------ >> *发件人:* face old >> *发送时间:* 2009-01-02 09:07:12 >> *收件人:* ph4nt0m >> *抄送:* >> *主题:* [Ph4nt0m] Re: 关于GH0ST的改造。。DLL挟持 >> >> knowndll是不受这个限制的。 >> >> 2009/1/1 raystyle <[email protected]> >> >>> >>> 由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行,如图18.4。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。 >>> >>> 2009/1/1 Nidayes <[email protected]> >>> >>> 楼上看错了,是gh0st,开源的木马,呵呵 >>>> >>>> 2008/12/31 k k <[email protected]> >>>> >>>> 思路不错,GHOST文件格式若理清能干不少事的 >>>>> >>>>> 2008/12/18 宋 陈 <[email protected]> >>>>> >>>>>> 不知道有没牛人有改造GH0ST的。。用DLL挟持上线。。。过各种主动。。包括微点等。。一起切磋交流。。QQ 85571695 >>>>>> >>>>>> ------------------------------ >>>>>> 好玩贺卡等你发,邮箱贺卡全新上线! >>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> Life with Linux >>>>>> >>>>>> >>>>>> <http://cn.rd.yahoo.com/mail_cn/tagline/card/*http://card.mail.cn.yahoo.com/> >>>>> >>>>> > > > --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
