版块
论坛
喜欢
话题
应用
搜索
登录
注册
WQXNETQIQI的个人空间
访问量
14
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=149454
进程保护挑战 - 无HOOK无KDOM,微软标准函数
看到有人诟病360的自我保护,又见江民、微点等一堆国内挫人使用一大堆HOOK对自己的进程做保护导致系统不稳定还保护不住于是放点东西出来给大家玩玩,欢迎挑战测试程序没有使用任何HOOK,没有使用任何KDOM,没有修改任何未公开的数据结构或调用,完全是微软的标准接口和函数,却让无数进...
全文
回复
(
46
)
2008-04-03 19:03
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
powerboot
:
给点提示....
(2008-04-06 11:21)
回复
WQXNETQIQI
:
本身这就是个保护挑战,恶意不恶意,不知道从哪里说起 摘链无疑不现实,因为如果这是个恶意程序,那么它可能根本不用这种一眼就能出来的钩子,试问你怎么摘? 至于什么删除程序,更是可笑,这是进程保护挑战,与文件何干?
(2008-04-06 11:06)
回复
codez
:
说实话,这个程序本身就存在类似于恶意软件的行为,所以,如果非要用某种通用的方法去实现针对某种特定的方法的确意义不大。 不管摘练是否犯规,但是这是一个很通用的方法,基本上你的驱动只要没有根本性的机制改变,也可以被杀掉。 如果说有更通用的方法,那么就是通过其他系统引导本身硬盘,删...
(2008-04-06 10:27)
回复
WQXNETQIQI
:
都是标准函数,有啥不能加载的,仔细看好了,你要先手动加载驱动!偷懒没写加载代码,什么残废版,说话小心点
(2008-04-06 01:27)
回复
jACKNI
:
日啊,xpsp2虚拟机,sys无法加载,拜托mj你下次别弄残废版来消遣我等啊
(2008-04-06 00:13)
回复
boywhp
:
越来越发现内核不好玩了;—<
(2008-04-05 16:19)
回复
Yanky
:
EP_X0FF
(2008-04-05 04:15)
回复
WQXNETQIQI
:
楼上的两个办法都算是作弊 1.hook kexxx,实际是干扰了保护驱动程序本身的工作流程,试想,如果我不用kedelay呢?这只能算只针对性的攻击 2.给DEVICE发请求改PID,是修改了保护驱动本身的数据,试想,我换一个IOCTL,或者干脆用随机的呢?
(2008-04-04 22:56)
回复
codez
:
不知道 Hook KeDelayExecutionThread 这个算不算作弊。
(2008-04-04 18:10)
回复
codez
:
好久没来了,刚来就发现这么好玩的东西哈。 我的想法: 1. 直接摘链,这个我就不说了,体力活而已; 或者 hook 那个KeDelayExecutionThread ; 2. 由于驱动设计的缺陷,因此我们可以以很容易的杀死目标进程(注意:偷懒方法,针对此程序设计而已,无任何技...
(2008-04-04 17:58)
回复
« 上一页
1
2
3
4
5
下一页 »
WQXNETQIQI
加关注
写私信
0
关注
0
粉丝
962
帖子
返回顶部