[求助]手动加载dll后seh链的问题如何处理-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
AperOdry 雪币： 775 活跃值： (2357) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 2 楼 bb4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4l9`. 9deK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7 最后于 2022-12-8 23:21 被AperOdry编辑，原因： 2022-12-8 23:19 0
GloryRef 雪币： 461 活跃值： (3284) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 3 楼 AperOdry f0cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4l9`. 1b9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7 感谢 2022-12-8 23:27 0
GloryRef 雪币： 461 活跃值： (3284) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 4 楼 AperOdry 15cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4l9`. 48aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7 我看了源代码，这个还是挂的链表啊。 2022-12-9 14:27 0
AperOdry 雪币： 775 活跃值： (2357) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 5 楼 GloryRef 我看了源代码，这个还是挂的链表啊。第一个expect好像靠RtlInsertInvertedFunctionTable注册的，没挂PEB吧，我遍历PEB也没发现三方模块。不过还确实不知道能靠挂ldr链表注册异常 2022-12-9 18:26 0
AperOdry 雪币： 775 活跃值： (2357) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 6 楼 GloryRef 我看了源代码，这个还是挂的链表啊。 https://bbs.pediy.com/thread-247943.htm 2022-12-9 18:27 0
Boring勇哥雪币： 4165 活跃值： (1555) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 79 粉丝 5 关注私信	Boring勇哥 7 楼 Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法（防止通过seh劫持控制流），验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将模块的信息插入到表中，实现的方式有两个：使用ntdll中的RtlInsertInvertedFunctionTable（未导出），或者搜索LdrpInvertedFunctionTable后自己实现插入函数。我选择了后者，因为前者是通过特征码搜索，需要不断更新。参考：[RtlInsertInvertedFunctionTable]e88K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2)9J5c8V1W2F1N6X3g2J5N6r3g2V1c8Y4g2F1j5%4c8A6L8$3&6f1j5h3u0D9k6g2)9J5k6h3y4H3M7l9`.`. [FindLdrpInvertedFunctionTable]66eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2)9J5c8V1W2F1K9i4c8A6j5h3I4A6P5X3g2Q4x3X3g2U0M7s2l9`. 最后于 2022-12-9 22:45 被Boring勇哥编辑，原因： 2022-12-9 22:43 0
GloryRef 雪币： 461 活跃值： (3284) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 8 楼 Boring勇哥 Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法（防止通过seh劫持控制流），验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将 ... 感谢 2022-12-10 15:33 0
@一语成谶雪币： 107 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	@一语成谶 9 楼看不懂.... 2023-1-4 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
AperOdry 雪币： 775 活跃值： (2357) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 2 楼 bb4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4l9`. 9deK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7 最后于 2022-12-8 23:21 被AperOdry编辑，原因： 2022-12-8 23:19 0
GloryRef 雪币： 461 活跃值： (3284) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 3 楼 AperOdry f0cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4l9`. 1b9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7 感谢 2022-12-8 23:27 0
GloryRef 雪币： 461 活跃值： (3284) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 4 楼 AperOdry 15cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4l9`. 48aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7 我看了源代码，这个还是挂的链表啊。 2022-12-9 14:27 0
AperOdry 雪币： 775 活跃值： (2357) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 5 楼 GloryRef 我看了源代码，这个还是挂的链表啊。第一个expect好像靠RtlInsertInvertedFunctionTable注册的，没挂PEB吧，我遍历PEB也没发现三方模块。不过还确实不知道能靠挂ldr链表注册异常 2022-12-9 18:26 0
AperOdry 雪币： 775 活跃值： (2357) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 6 楼 GloryRef 我看了源代码，这个还是挂的链表啊。 https://bbs.pediy.com/thread-247943.htm 2022-12-9 18:27 0
Boring勇哥雪币： 4165 活跃值： (1555) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 79 粉丝 5 关注私信	Boring勇哥 7 楼 Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法（防止通过seh劫持控制流），验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将模块的信息插入到表中，实现的方式有两个：使用ntdll中的RtlInsertInvertedFunctionTable（未导出），或者搜索LdrpInvertedFunctionTable后自己实现插入函数。我选择了后者，因为前者是通过特征码搜索，需要不断更新。参考：[RtlInsertInvertedFunctionTable]e88K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2)9J5c8V1W2F1N6X3g2J5N6r3g2V1c8Y4g2F1j5%4c8A6L8$3&6f1j5h3u0D9k6g2)9J5k6h3y4H3M7l9`.`. [FindLdrpInvertedFunctionTable]66eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1j5U0p5H3y4#2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2m8b7i4K6u0r3j5X3I4G2j5W2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8V1#2W2L8h3!0J5P5f1#2G2k6s2g2D9k6g2)9J5c8V1W2F1K9i4c8A6j5h3I4A6P5X3g2Q4x3X3g2U0M7s2l9`. 最后于 2022-12-9 22:45 被Boring勇哥编辑，原因： 2022-12-9 22:43 0
GloryRef 雪币： 461 活跃值： (3284) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	GloryRef 8 楼 Boring勇哥 Windows处理seh时会使用RtlIsValidHandler来验证处理程序是否合法（防止通过seh劫持控制流），验证主要是通过查找InvertedFunctionTable来实现的。因此你需要将 ... 感谢 2022-12-10 15:33 0
@一语成谶雪币： 107 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	@一语成谶 9 楼看不懂.... 2023-1-4 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复