郁金香外挂技术-郁金香灬老师

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

郁金香终身VIP管理员QQ150330575项目合作(有实力的+)视频教程+每月更新+QQ群
飞郁视频分享(每周更新)
查看: 1804|回复: 0

绕过 LdrLoadDll 拦截 加载我们DLL

[复制链接]
发表于 2016-8-20 18:39:45 | 显示全部楼层 |阅读模式


ntdll.LdrLoadDll
LdrLoadDll(
  IN PWCHAR               PathToFile OPTIONAL, //dll路径
  IN ULONG                Flags OPTIONAL, //标志
  IN PUNICODE_STRING      ModuleFileName, //dll名字
  OUT PHANDLE             ModuleHandle ); //返回句柄指针


.参数 PathToFile, 整数型, , 看文章说给0也可以,这里改成文本型参数给DLL路径也报错
    .参数 Flags, 整数型, , 直接给0
    .参数 ModuleFileName, UNICODE_STRING
    .参数 ModuleHandle, 整数型, , 成功载入后返回句柄

0018B3B8   76932E10  返回到 KERNELBA.76932E10 来自 ntdll.LdrLoadDll
0018B3BC   0018B3E1  //DLL路径
0018B3C0   0018B404  //标志
0018B3C4   0018B3E8  //PUNICODE_STRING DLL名字
0018B3C8   0018B3F8 //句柄指针 用于返回 HMOUDLE

某游戏 在 ntdll.LdrLoadDll 拦截加载的DLL 以防止外挂注入DLL
775EF4E8 >- E9 7BD1A898     JMP qqx51__1.1007C668                               ; ntdll.LdrLoadDll
775EF4ED    83EC 0C         SUB ESP,0C
775EF4F0    A1 94F85D77     MOV EAX,DWORD PTR DS:[775DF894]
775EF4F5    8365 FC 00      AND DWORD PTR SS:[EBP-4],0
775EF4F9    53              PUSH EBX
775EF4FA    8B5D 08         MOV EBX,DWORD PTR SS:[EBP+8]
775EF4FD    83C8 01         OR EAX,1
775EF500    57              PUSH EDI
775EF501    8505 A0676B77   TEST DWORD PTR DS:[776B67A0],EAX
775EF507    0F85 51E90300   JNZ ntdll.7762DE5E
775EF50D    A1 A0676B77     MOV EAX,DWORD PTR DS:[776B67A0]
775EF512    8505 98F85D77   TEST DWORD PTR DS:[775DF898],EAX
775EF518    0F85 7BE90300   JNZ ntdll.7762DE99
775EF51E    85DB            TEST EBX,EBX
775EF520    0F85 79E90300   JNZ ntdll.7762DE9F
775EF526    BF A0016B77     MOV EDI,ntdll.776B01A0
775EF52B    8B45 0C         MOV EAX,DWORD PTR SS:[EBP+C]
775EF52E    85C0            TEST EAX,EAX
775EF530    0F84 A56E0000   JE ntdll.775F63DB
775EF536    8B18            MOV EBX,DWORD PTR DS:[EAX]
775EF538    56              PUSH ESI
775EF539    8D45 08         LEA EAX,DWORD PTR SS:[EBP+8]
775EF53C    50              PUSH EAX
775EF53D    6A 00           PUSH 0
775EF53F    E8 8C550200     CALL ntdll.RtlWow64EnableFsRedirectionEx
775EF544    E9 71E90300     JMP ntdll.7762DEBA
775EF549    85DB            TEST EBX,EBX
775EF54B    7C 0B           JL SHORT ntdll.775EF558

解决办法如下  附C++源代码


购买主题 已有 2 人购买  本主题需向作者支付 3 金币 才能浏览
郁金香外挂教程,学习中...
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

限时限量优惠

QQ|小黑屋|手机版|郁金香外挂技术-郁金香灬老师 ( 苏ICP备10059359号 )

GMT+8, 2019-9-16 10:20 , Processed in 0.052672 second(s), 24 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表