论坛: 黑客进阶 标题: 在菜鸟乐园没人回,发到这可否?-----AppInit_DLLs=backdoor.dll 复制本贴地址    
作者: sicama [sicama]    论坛用户   登录
看到这篇文章:

作者:tombkeeper(tombkeeper) 
来源:tombkeeper@whitecell.org 

看了那么多大侠、大仙关于隐藏进程的介绍,深感“做人难,作黑人更难”。不过有一种隐藏进程的方法倒是不用什么编程技巧的(其实也不容易)。注意下面这个键值: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLs"="backdoor.dll" 
wantjob就是用这个法子。微软知识库Q134655和Q125680里介绍过,大家不妨弄来看看。 

写一个backdoor.dll,再加上这个键值,系统启动后就会加载这个模块。因为没有自己的进程,所以也是看不见的。backdoor.dll还可以学wantjob 的损招,不断检查这个键值,被人删了就再重写回来。
////////////////////////////
查我的注册表这样的:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="apihookdll.dll"

问:这样是否是正常的.那个apihookdll.dll是否是系统文件??
///////////////////////////
另我写了个f1.dll 然后把apihookdll.dll替换为f1.dll,开机进不了win2k,ghost 恢复再试,"apihookdll.dll"后加空格再加上我的"f1.dll"也不行.我写的f1.dll
BOOL APIENTRY DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
 )
{
    MessageBox(NULL,"IN Dll","test",NULL);
    return TRUE;
}

问:是不是要f1.dll写成一个"正确的"dll才行,也就是要有出口函数.输出函数.之类的才行???

新手一个,高手请指正...


地主 发表时间: 08/26 01:28

回复: shesh [shesh]   版主   登录
apihookdll.dll肯定不是系统文件,从名字来看好象是个API的钩子.
你写的DLL有问题,必须是标准的钩子DLL才行.

B1层 发表时间: 08/26 09:32

回复: sicama [sicama]   论坛用户   登录
apihookdll.dll肯定不是系统文件,从名字来看好象是个API的钩子.
\\\\
用记事本打开apihookdll.dll,有如下字样:
........Anti_Troj_Horse_InjDll_HWND............
应该是我装的木马克星或瑞星或绿色警戒的文件吧,如果不是那可能是我中了毒??:)...
\\\\
你写的DLL有问题,必须是标准的钩子DLL才行..
\\\\
是的,正在学习ing..

3Q...

B2层 发表时间: 08/29 08:06

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号