20180625
- 外挂运行��后检测到测试软件有dll载入,载入dll均为系统dll,暂时排除注入恶意dll的可能
- 外挂运行后检测到测试软件有新进程创建,但驱动监控显示创建者为测试软件本身(并非外挂进程)猜想外挂未使用CreateRemoteThread来实现代码注入,需要继续研究其注入方法
- 外挂运行后驱动检测到其打开测试软件句柄,并请求一下句柄访问权限
process_vm_operation, process_vm_write, process_vm_read猜想外挂使用VirtualAllocEx或者ReadMemory, WriteMemory来实现任意代码注入 - 当外挂请求以上权限时,驱动设置的回调函数直接拒绝,因此导致外挂代码注入失败,无法正常执行
Last modified 4yr ago