标签:iat x64 .dll 创建 注入 box kernel 进程创建 代码
sbieDll.dll 注入到被沙箱化的进程,用到的方式是驱动sbiedrv.sys监控进程创建,在内存中动态感染IAT表的方式实现的,x86,x64通用。此时sbieDll.dll是除了ntdll.dll、kernel32.dll(kernelbase.dll)之后第三个被加载的模块,此时它便开始接管当前进程的各种调用(这部分注入DLL的代码参考工程中ProteinBoxDrv代码)
标签:iat x64 .dll 创建 注入 box kernel 进程创建 代码
原文地址:http://www.cnblogs.com/yiii/p/6935733.html