-
看到有人诟病360的自我保护,又见江民、微点等一堆国内挫人使用一大堆HOOK对自己的进程做保护导致系统不稳定还保护不住于是放点东西出来给大家玩玩,欢迎挑战测试程序没有使用任何HOOK,没有使用任何KDOM,没有修改任何未公开的数据结构或调用,完全是微软的标准接口和函数,却让无数进...全文
◆
◆
-
jACKNI:我试过了,还找不到好的关闭方案,在PID替换之后,我先另外插了个内核apc到那个mj那个KeDelayExecutionThread线程里,然后掉pspexitthread,总算把顽固线程关了。然后在zwterminate 关闭进程,zwterminate返回成功,用!proce...(2008-04-07 16:17)
-
wowocock:引用第24楼powerboot于2008-04-07 14:03发表的 : 不知道这个答案是不是一个让人信服的结果啊
信服的结果就是拿个另外进程的PID,TID替换到MJ的进程里,因为在CALLBACK里只能收到PID和TID之类的信息,即使去查EPROCESS也是错的,总...(2008-04-07 15:21)
-
WQXNETQIQI:当然是故意安排了,PspExitThread和PspExitProcess都要走notify,因此只要你用这两条路退出,基本就必然走notify 一个进程当然至少有一个线程,sleep只是把线程切换出去而已(2008-04-06 22:17)
-
jACKNI:汗,的确是我看错题目了。难怪驱动加载不起。 要过他的call back 不难。Terminate之前: 到pspCidTable表里把把psxx的 eprocess地址拷贝到自己的在pspCidTable的偏移地址,然后用你的PID覆盖psxx eprocess中的PID和 ps...(2008-04-06 22:10)
-
WQXNETQIQI:只要把你那个清了就都清了,,他们都省事了。。。(2008-04-06 14:51)
-
wowocock:主要是提供一种想法,而且很多人动不动就清CALLBACK例程,经过我这么一折腾,他再要清我的CALLBACK就没那么容易了.至于2K同样的处理更简单,不过考虑靠MS从今年6月以后就放弃XP了,所以不考虑也罢.(2008-04-06 14:41)
-
WQXNETQIQI:WOW老牛出手了 :)
膜拜先
方法似乎是先取到所有的notify,然后把他们保存下来,最后都干掉
然后自己注册一个,替他们来执行,所以就可以过滤掉指定的PID了(或者TID~)
但是似乎只能执行在XP下 ,首先2K没有REMOVE那个函数,其次2k上就是一张地址表,而...(2008-04-06 13:49)
-
powerboot:引用第17楼wowocock于2008-04-06 11:27发表的 : 放个测试程序,环境是XPSP2 用法是先加载驱动,然后执行PsNotifyMrgApp.exe选择\.PsNotifyMrgDevice,open handle Operation Type,选择IOCT...(2008-04-06 13:38)
-
wowocock:[附件] 放个测试程序,环境是XPSP2 用法是先加载驱动,然后执行PsNotifyMrgApp.exe选择\\.\PsNotifyMrgDevice,open handle Operation Type,选择IOCT_800 Input Size :4 Input Patte...(2008-04-06 11:27)
