版块
论坛
喜欢
话题
应用
搜索
登录
注册
WQXNETQIQI的个人空间
访问量
14
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=149454
进程保护挑战 - 无HOOK无KDOM,微软标准函数
看到有人诟病360的自我保护,又见江民、微点等一堆国内挫人使用一大堆HOOK对自己的进程做保护导致系统不稳定还保护不住于是放点东西出来给大家玩玩,欢迎挑战测试程序没有使用任何HOOK,没有使用任何KDOM,没有修改任何未公开的数据结构或调用,完全是微软的标准接口和函数,却让无数进...
全文
回复
(
46
)
2008-04-03 19:03
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
killvxk
:
给窗口发关机消息呢?
(2008-04-08 15:32)
回复
wowocock
:
因为你的操作干扰了系统的正常行为,所以可能出现很多莫名其妙的问题.整个WINDOWS浩如烟海,即使我们都K,WRK里的东西也不能保证和其保持一致,所以只能是局部处理,把影响的部分最小化.
(2008-04-08 08:09)
回复
jACKNI
:
wowo老大所言极是,做hook的确是最好的办法。也是最稳定的办法。PID变更在稳定上和hook 没法比。 问题是ppxx有个线程太顽固,我也是没办法。大部分时间是花在了怎么干掉那个顽固线程上,还有的就是线程干掉了,它窗口居然还在。还有一些时间是花在了怎么干它窗口上?
(2008-04-07 23:04)
回复
wowocock
:
且不说这种方法有时候可以有时候不可以.如果把MJ的程序稍做改动,在DEVICEIOCONTROL保存的是当前的EPROCESS,然后在回调里比较传入的PID和自己的EPROCESS里的PID进行比较的话,马上就失效了.
(2008-04-07 23:01)
回复
wowocock
:
F5估计就是GO的意思.替换的时机应该在调用CALLBACK之前和调用好以后,因为在CALLBACK是没有影响的,所以我认为不做HOOK是不好处理的.
(2008-04-07 22:28)
回复
jACKNI
:
F5 就是键盘最上面一排地6个键-_-. 启动了ppxx后, kptest.rar中,先用驱动加载工具加载kpsys.sys,然后启动kp.exe.就能把ppxx的进程给关了。 原理就是除了上面说的PID更改+unmapXXXX. 忘了,在xpsp2下测试通过
(2008-04-07 22:25)
回复
WQXNETQIQI
:
f5是什么? WOW巨牛,貌似替换PID的方法被证实不好用。会出问题
(2008-04-07 19:14)
回复
powerboot
:
引用第28楼lazydog于2008-04-07 16:46发表的 : 看看多无聊的家伙们啊~ 请LS的把这个保护破掉再来说我们无聊好不好?
(2008-04-07 18:49)
回复
lazydog
:
看看多无聊的家伙们啊~
(2008-04-07 16:46)
回复
boywhp
:
哈哈 这么好玩啊,MJ真是流氓,以后流氓都用这个方法
(2008-04-07 16:37)
回复
« 上一页
1
2
3
4
5
下一页 »
WQXNETQIQI
加关注
写私信
0
关注
0
粉丝
962
帖子
返回顶部