NT6系统中DLL远程注入技术探讨与实现.pdfVIP

  • 1
  • 0
  • 约8.56千字
  • 约 6页
  • 2026-07-01 发布于北京
  • 举报

NT6系统中DLL远程注入技术探讨与实现.pdf

在NT5系统里,只要有ADMIN权限,就可以把任意DLL注入到系统进程。但NT6系统

为了安全起见,引入了SESSION机制,使这一美好的现实化为了泡影。但实际上微软并

没有把这一套做绝,SESSION是在RING3实现的,而非在RING0里实现。这就为

这一机制了可能。

注入DLL主要是使用CreateRemoteThread函数,CreateRemoteThread函数又调用了

CreateRemoteThreadEx。在CreateRemoteThreadEx里,有一处是否禁用SESSION的判断(以下反汇编代码来自

WIN7X64SP1):

KERNELBASE!CreateRemoteThreadEx+0x224:

000007fe`fd5db564803dd152050000比较byteptr[KERNELBASE!KernelBaseGlobalDatax5c

您可能关注的文档

文档评论(0)

1亿VIP精品文档

相关文档