Lab11-1
感觉这个Gina完全过时了。。
Lab11-2
Lab11-2.ini解密得 ,交叉引用发现该dll文件对send函数进行了inline hook,hook代码
new_send代码如下
可以看到, 所有发送到邮箱的数据都将发送到中
存在导出函数installer
这里设置了注册表SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs,并将这个dll文件自身复制到系统路径下,之后程序都会加载这个DLL文件,本质上可以说是一种全局注入方式。
Lab11-3
启动器主函数很简单
复制dll文件到系统目录下,然后修改cicvc.exe的.text段的section header达到劫持代码段的目的,
大概就是复制一段shellcode到文件中吧。
DLL文件中就是是一个键盘记录器。