我也放血一把，R3杀挂丧路灵

1haoyu · 发表于 2011-1-5 22:12:16

其实也不是啥牛逼的API，也不是啥新技术！而且代码我貌似给过N多人了，不过没在紫水晶发现有转载，那就自己再发一遍吧。
思路很猥琐，感染+DLL劫持。丧路灵的保护，说实在的，我菜鸟，没能力搞挂它，不过微软的DLL劫持，还没有一个很好的解决方法，就算是把KnownDLLs全部注册，我们还是可以替换系统的DLL，用LPK来举例吧：
实现方法是:
1.拷贝系统的LPK到TEMP目录，感染LPK的SECTION，用来加载我的某个DLL。
2.把LPK.DLL拷贝回系统目录（这个会引起丧路灵报警的，所以用了些猥琐的手段）。
3.随便用个啥API启动丧路灵的某个进程。我的某个DLL，已经被丧路灵加载了。
到这一步已经算是获取了和丧路灵一样的权限了。
可以用最常见，甚至是被杀软盯得很紧的API来蹂躏丧路灵了。杀挂丧路灵，直接在丧路灵下加载驱动，都可以。
在最新的7.6下测试任然有效。

下面是个演示视频：
http://down.qiannao.com/space/fi ... 89c6-9891.rar/.page
晕，搞了半天，貌似传不上附件。算了，懂的花个几分钟就实现了。。。
也可以问我要代码。