launcheerctor-主页锁定Main
2018-04-04 09:05:47 0 举报
主页锁定DllMain
作者其他创作
大纲/内容
false
true
是否为f1浏览器
获取进程原始命令行参数
commandLine的Kernel32.dll:绑定GetProcAddress/GetCommandLine/WinHttplGetIEProxyConfigForCurrentUser;-Inline Hook
是否重命名浏览器,清浏览器信息
获取当前进程实时命令行,对比修正后命令行
初始化hook管理对象1.ntdll.dll加入到
socket的WS2_32.dll:绑定send/connect/WSASend 到指定的dll中-IAT Hook
bIsNeedRedirect=true
浏览器是否存在版本信息
偏移内存字节位置
是否存在主页锁定域名&&需要锁定重定向bIsNeedRedirect=true
清除浏览器进程导入表,防止被反查
获取共享内存中关于socket的配置初始化
重命名浏览器为spoolsv.exe
初始化浏览器进程操作对象
获取共享内存中关于主页锁定的配置
自定义规则是否匹配当前命令行
是否存在PEB
结束
是否存在自定义配置文件
判断是否为浏览器子进程派出
以新命令行重启浏览器
修改命令行当前访问主页地址
是否查到进程类型不用执行
相同
将主页锁定dll 静态注入到浏览器进程中
是否存在socket配置
获取浏览器类型
分配命令行内存地址空间
bIsNeedRedirect=false
是否成功
进行主页锁定配置变量赋值
包含网吧所有浏览器的首页格式,与命令行是否匹配
删除ldrloaddll hook关系
加载 dll时调用 dllMain函数
初始化log日志设置,设置保存路径%APPDATA%/ssoor
是否移除浏览器版本信息
循环3333次反复查询网维大师的相关dll文件内容存在就替换为锁定主页dll内容
当前浏览器是否支持重命名
获取当前peb进程下的命令行参数,拷贝进内存地址中
初始化commandLine对象
初始化socket对象
浏览器是否支持删除版本信息
判断原访问地址是否完整
是否支持注入依赖
commandLine的Kernel32.dll:绑定GetCommandLineW;到指定的dll中-IAT Hook
获取当前进程PEB
绑定主页锁定dll 到浏览器导入表中-IAT_HOOK
是否需要hook浏览器(IAT HOOK)
写入私有变量存储
成功
需要重定向&&当前浏览器类型需要重启动
获取浏览器类型判断是否为浏览器
移除版本信息
检查是否获取浏览器进程类型
暂停33333秒删除相关的dll关系ldrloaddllgetprocaddressgetcommandlinew...
socket的ws2_32.dll:绑定send/connect/WSASend-Inline Hook
0 条评论
回复 删除
下一页
