进程保护挑战 - 无HOOK无KDOM，微软标准函数

看到有人诟病360的自我保护，又见江民、微点等一堆国内挫人使用一大堆HOOK对自己的进程做保护
导致系统不稳定还保护不住

于是放点东西出来给大家玩玩，欢迎挑战

测试程序没有使用任何HOOK，没有使用任何KDOM，没有修改任何未公开的数据结构或调用，完全是微软的标准接口和函数，却让无数进程结束，ARK工具望之兴叹，哈哈！

以下是无法结束本测试程序的程序列表，欢迎各位测试自己的工具，逐步更新此表

Icesword 1.22 ---  failed
RKU 3.7 ---  failed
gmer 1.14 ---  failed
SnipeSword 20080225 -- failed
Wsyscheck 20080223  --failed
墨者安全专家进程管理3.05 --- failed
DarkSpy 1.0.5 --- failed
SysProt 1.0.0.5 --- failed

挑战规则：

让进程退出

禁止：
不允许攻击窗口

不允许恢复驱动使用标准函数建立的接口等

不允许破坏驱动内部数据或代码流程（例如保护PID值）
不允许类似上面的技巧

测试程序见压缩包:


测试方法:使用Driver Monitor或DrvLoad等工具加载ppxx.sys
运行ppxx.exe

尝试将其结束

哎！只能顶一下的分啦！

Driver Monitor或DrvLoad等工具加载ppxx.sys?????
:
在哪里可以下载！

学习了！

WQXNETQIQI  这个SB。

谁告诉你有意义了，楼上这种傻B太多了 真是受不了

这个保护没有意义，并且有些愚弄人。冰刃杀之，整个受保护的进程均被挂起了。

有在这里发贴胡说八道的时间， 你倒不如亲手去试试
现在的人啊，发贴不经脑子的太多了

該進程能否 Inject?
如果可以注入一段代碼，這段代碼執行時，把EIP指到零。

行不行得通？

强烈建议MJ出来公布答案

说了一圈，最后又回到我提出的两个办法而已。
1. 清链;
2. 改 pid;

人家都说这是作弊了好不好？你们换个方法吧。偶也学习一下

给窗口发关机消息呢？

因为你的操作干扰了系统的正常行为,所以可能出现很多莫名其妙的问题.整个WINDOWS浩如烟海,即使我们都K,WRK里的东西也不能保证和其保持一致,所以只能是局部处理,把影响的部分最小化.

wowo老大所言极是，做hook的确是最好的办法。也是最稳定的办法。PID变更在稳定上和hook 没法比。
问题是ppxx有个线程太顽固，我也是没办法。大部分时间是花在了怎么干掉那个顽固线程上，还有的就是线程干掉了，它窗口居然还在。还有一些时间是花在了怎么干它窗口上？

且不说这种方法有时候可以有时候不可以．如果把ＭＪ的程序稍做改动，在ＤＥＶＩＣＥＩＯＣＯＮＴＲＯＬ保存的是当前的ＥＰＲＯＣＥＳＳ，然后在回调里比较传入的ＰＩＤ和自己的ＥＰＲＯＣＥＳＳ里的ＰＩＤ进行比较的话，马上就失效了．

F5估计就是ＧＯ的意思．替换的时机应该在调用ＣＡＬＬＢＡＣＫ之前和调用好以后，因为在ＣＡＬＬＢＡＣＫ是没有影响的，所以我认为不做ＨＯＯＫ是不好处理的．

F5 就是键盘最上面一排地6个键-_-.
启动了ppxx后，
kptest.rar中，先用驱动加载工具加载kpsys.sys，然后启动kp.exe.就能把ppxx的进程给关了。
原理就是除了上面说的PID更改＋unmapXXXX.
忘了，在xpsp2下测试通过

f5是什么？

WOW巨牛，貌似替换PID的方法被证实不好用。会出问题

引用第28楼lazydog于2008-04-07 16:46发表的  :
看看多无聊的家伙们啊～

请LS的把这个保护破掉再来说我们无聊好不好?

看看多无聊的家伙们啊～