FlowerCode 的进程防杀

ZWAPI 驱动牛犊注册日期2008-04-30 最后登录2008-06-12 粉丝0 关注0 积分21分威望6点贡献值0点好评度4点原创分0分专家分0分加关注写私信	阅读：4865回复：26 FlowerCode 的进程防杀楼主^# 更多只看楼主倒序阅读发布于：2008-04-30 20:26 rt 很强大
	附件名称/大小下载次数最后更新 Test_2.rar (353KB) 288 2008-04-30 20:26 喜欢0 最新喜欢：回复

123456789012 驱动牛犊注册日期2006-04-07 最后登录2009-11-08 粉丝0 关注0 积分80分威望61点贡献值0点好评度60点原创分1分专家分0分加关注写私信	沙发^# 发布于：2008-05-01 01:01 我拿我两年前的代码改的，怎么可能强大？只是拿来证明可以过那个 IceLight 而已。因为那程序作者号称超越 IceSword。
	回复(0) 喜欢(0)

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

板凳^#

发布于：2008-05-01 09:13

IceLight V1.3.16[一线光-无驱,恢复SSDT,可杀IS,SS]
一款强大的反黑客工具,适用于Windows 2000/XP/2003/Vista操作系统（Vista不是支持得很好），用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。

一.界面

与上一版本界面相比有了很大改善,用户可自行查看.具体如下:

1,修复了上一版本中在英文操作系统中中文显示为乱码的问题.(在此感谢蛋白兔子参与测试)
2,重新为IceLight设计了一款新图标,菜单使用OFFICE XP的风格.

二.系统

1,进程\线程中增加了挂起与恢复功能,
2,不使用驱动,通杀隐藏进程,侦测伪PID,查看、恢复SSDT
3,具有网络查看,服务,检测功能.

三.自启动

这是一个新增的模块区域,主要用来管理系统中自动启动的信息.当然可能还存有
不完善地方,所以还有待考验.

该区域中包括:注册表启动\IE浏览器\Winlogon\开始菜单启动

四.杀进程

1,不使用驱动的前提下,结束冰刃就像切豆腐
2,不使用V1.1.31中的DLL,直接代码注入干进程

五.自保护

在ethread中的flag置PS_CROSS_THREAD_FLAGS_SYSTEM位,过PspTerminateProcess NtTerminateProcess应该是没什么问题.另保护了PID.
在IceLight运行时任何可能的提权操作都会被拒绝。

六.不足

目前IceLight尚不能枚举消息钩子及窗口,我会努力搞的!

1,不使用驱动的前提下,结束冰刃就像切豆腐
估计属于比较嚣张的那种家伙.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

123456789012

驱动牛犊

注册日期2006-04-07
最后登录2009-11-08
粉丝0
关注0
积分80分
威望61点
贡献值0点
好评度60点
原创分1分
专家分0分

加关注写私信

地板^#

发布于：2008-05-01 09:58

引用第2楼wowocock于2008-05-01 09:13发表的 :
IceLight V1.3.16[一线光-无驱,恢复SSDT,可杀IS,SS]
一款强大的反黑客工具,适用于Windows 2000/XP/2003/Vista操作系统（Vista不是支持得很好），用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。

一.界面

.......

ZwQuerySystemInformation -> DuplicateHandle -> AssignProcessToJobObject -> TerminateJobObject，代码基本都是A的。

回复喜欢

ZWAPI 驱动牛犊注册日期2008-04-30 最后登录2008-06-12 粉丝0 关注0 积分21分威望6点贡献值0点好评度4点原创分0分专家分0分加关注写私信	地下室^# 发布于：2008-05-01 10:20 可以说一下原理吗？
	回复(0) 喜欢(0)

123456789012 驱动牛犊注册日期2006-04-07 最后登录2009-11-08 粉丝0 关注0 积分80分威望61点贡献值0点好评度60点原创分1分专家分0分加关注写私信	5楼^# 发布于：2008-05-01 10:29 引用第4楼ZWAPI于2008-05-01 10:20发表的 : 可以说一下原理吗？说出来就不好玩了，自己试试不就知道原理了？又不是什么高难度的东西。
	回复(0) 喜欢(0)

boywhp 驱动中牛注册日期2007-08-09 最后登录2015-04-24 粉丝2 关注0 积分1105分威望515点贡献值0点好评度254点原创分1分专家分0分加关注写私信	6楼^# 发布于：2008-05-01 11:14 wowocock写的啊？？？我去下载玩玩
	回复(0) 喜欢(0)

123456789012 驱动牛犊注册日期2006-04-07 最后登录2009-11-08 粉丝0 关注0 积分80分威望61点贡献值0点好评度60点原创分1分专家分0分加关注写私信	7楼^# 发布于：2008-05-01 12:05 引用第6楼boywhp于2008-05-01 11:14发表的 : wowocock写的啊？？？我去下载玩玩呵呵，我写的
	回复(0) 喜欢(0)

lihui126 驱动牛犊注册日期2006-08-01 最后登录2008-06-11 粉丝0 关注0 积分10分威望3点贡献值0点好评度2点原创分0分专家分0分加关注写私信	8楼^# 发布于：2008-05-01 14:05 引用第1楼123456789012于2008-05-01 01:01发表的 : 我拿我两年前的代码改的，怎么可能强大？只是拿来证明可以过那个 IceLight 而已。因为那程序作者号称超越 IceSword。这里牛人很多
	回复(0) 喜欢(0)

kxsystem 驱动牛犊注册日期2006-11-25 最后登录2011-08-29 粉丝0 关注0 积分9分威望56点贡献值0点好评度48点原创分0分专家分0分加关注写私信	9楼^# 发布于：2008-05-01 18:48 TerminateJobObject =>PspTerminateProcess=>PspTerminateThreadByPointer
	回复(0) 喜欢(0)

kxsystem 驱动牛犊注册日期2006-11-25 最后登录2011-08-29 粉丝0 关注0 积分9分威望56点贡献值0点好评度48点原创分0分专家分0分加关注写私信	10楼^# 发布于：2008-05-01 18:54 FC好像把EPROCESS内容抹掉了,IS只能看到EPROCESS.. 另外RS好像能够发现隐藏的Test.exe
	回复(0) 喜欢(0)

kxsystem 驱动牛犊注册日期2006-11-25 最后登录2011-08-29 粉丝0 关注0 积分9分威望56点贡献值0点好评度48点原创分0分专家分0分加关注写私信	11楼^# 发布于：2008-05-01 18:56 IceLight的界面很好看
	回复(0) 喜欢(0)

123456789012 驱动牛犊注册日期2006-04-07 最后登录2009-11-08 粉丝0 关注0 积分80分威望61点贡献值0点好评度60点原创分1分专家分0分加关注写私信	12楼^# 发布于：2008-05-02 07:48 引用第10楼kxsystem于2008-05-01 18:54发表的 : FC好像把EPROCESS内容抹掉了,IS只能看到EPROCESS.. 另外RS好像能够发现隐藏的Test.exe Test.exe 根本就没有隐藏，只要你用正常方法枚举（比如任务管理器）肯定可以发现。
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

13楼^#

发布于：2008-05-02 15:46

传说是rundown protect,N年前玩的东西~

驱动开发者呵呵

回复喜欢

ZWAPI 驱动牛犊注册日期2008-04-30 最后登录2008-06-12 粉丝0 关注0 积分21分威望6点贡献值0点好评度4点原创分0分专家分0分加关注写私信	14楼^# 发布于：2008-05-02 19:42 引用第13楼WQXNETQIQI于2008-05-02 15:46发表的 : 传说是rundown protect,N年前玩的东西~ WQXNETQIQI巨牛，什么是rundown protect？IS的强杀线程杀不死
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

15楼^#

发布于：2008-05-02 20:42

is要是用Pspxxx就可以干掉了~可惜他。。。

驱动开发者呵呵

回复喜欢

123456789012 驱动牛犊注册日期2006-04-07 最后登录2009-11-08 粉丝0 关注0 积分80分威望61点贡献值0点好评度60点原创分1分专家分0分加关注写私信	16楼^# 发布于：2008-05-03 00:28 引用第13楼WQXNETQIQI于2008-05-02 15:46发表的 : 传说是rundown protect,N年前玩的东西~ MJ 同学还就是忍不住要说上几句原理。让他们自己先玩玩不好么？这本来就是几年前写的，拿出来破除迷信而已。
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

17楼^#

发布于：2008-05-03 01:03

我就说是rundown protect也不见得人家就知道吧

驱动开发者呵呵

回复喜欢

lihui126 驱动牛犊注册日期2006-08-01 最后登录2008-06-11 粉丝0 关注0 积分10分威望3点贡献值0点好评度2点原创分0分专家分0分加关注写私信	18楼^# 发布于：2008-05-03 20:36 引用第17楼WQXNETQIQI于2008-05-03 01:03发表的 : 我就说是rundown protect也不见得人家就知道吧呵呵
	回复(0) 喜欢(0)

classfree

驱动小牛

注册日期2004-05-23
最后登录2019-01-06
粉丝1
关注1
积分873分
威望276点
贡献值0点
好评度85点
原创分0分
专家分0分

加关注写私信

19楼^#

发布于：2008-05-04 17:45

说哈原理嘛，又不是要CODE

低调点!

回复喜欢

您需要登录后才可以回帖，登录或者注册

最新喜欢：