阅读:11101回复:46
进程保护挑战 - 无HOOK无KDOM,微软标准函数
看到有人诟病360的自我保护,又见江民、微点等一堆国内挫人使用一大堆HOOK对自己的进程做保护
导致系统不稳定还保护不住 于是放点东西出来给大家玩玩,欢迎挑战 测试程序没有使用任何HOOK,没有使用任何KDOM,没有修改任何未公开的数据结构或调用,完全是微软的标准接口和函数,却让无数进程结束,ARK工具望之兴叹,哈哈! 以下是无法结束本测试程序的程序列表,欢迎各位测试自己的工具,逐步更新此表 Icesword 1.22 --- failed RKU 3.7 --- failed gmer 1.14 --- failed SnipeSword 20080225 -- failed Wsyscheck 20080223 --failed 墨者安全专家进程管理3.05 --- failed DarkSpy 1.0.5 --- failed SysProt 1.0.0.5 --- failed 挑战规则: 让进程退出 禁止: 不允许攻击窗口 不允许恢复驱动使用标准函数建立的接口等 不允许破坏驱动内部数据或代码流程(例如保护PID值) 不允许类似上面的技巧 测试程序见压缩包: 测试方法:使用Driver Monitor或DrvLoad等工具加载ppxx.sys 运行ppxx.exe 尝试将其结束 |
|
|
沙发#
发布于:2008-04-03 22:29
老大,IDA也要给点专业精神啊,你反的不正确,这样会误导后来的同志们的
|
|
|
板凳#
发布于:2008-04-04 00:08
啥呢,楼上也没搞清楚。。。
建议还是仔细IDA F5后再发言~ |
|
|
地板#
发布于:2008-04-04 22:56
楼上的两个办法都算是作弊
1.hook kexxx,实际是干扰了保护驱动程序本身的工作流程,试想,如果我不用kedelay呢?这只能算只针对性的攻击 2.给DEVICE发请求改PID,是修改了保护驱动本身的数据,试想,我换一个IOCTL,或者干脆用随机的呢? |
|
|
地下室#
发布于:2008-04-06 01:27
都是标准函数,有啥不能加载的,仔细看好了,你要先手动加载驱动!偷懒没写加载代码,什么残废版,说话小心点
|
|
|
5楼#
发布于:2008-04-06 11:06
本身这就是个保护挑战,恶意不恶意,不知道从哪里说起
摘链无疑不现实,因为如果这是个恶意程序,那么它可能根本不用这种一眼就能出来的钩子,试问你怎么摘? 至于什么删除程序,更是可笑,这是进程保护挑战,与文件何干? |
|
|
6楼#
发布于:2008-04-06 13:49
WOW老牛出手了 :) 膜拜先
方法似乎是先取到所有的notify,然后把他们保存下来,最后都干掉 然后自己注册一个,替他们来执行,所以就可以过滤掉指定的PID了(或者TID~) 但是似乎只能执行在XP下 ,首先2K没有REMOVE那个函数,其次2k上就是一张地址表,而XP后则是CallBackObject了 PS:终于看到WOW牛发出的SYS没有CV了,F5好开心~~~ - - !不过大家为啥都只盯着可怜的notify不放呢。。。 |
|
|
7楼#
发布于:2008-04-06 14:51
只要把你那个清了就都清了,,他们都省事了。。。
|
|
|
8楼#
发布于:2008-04-06 22:17
当然是故意安排了,PspExitThread和PspExitProcess都要走notify,因此只要你用这两条路退出,基本就必然走notify
一个进程当然至少有一个线程,sleep只是把线程切换出去而已 |
|
|
9楼#
发布于:2008-04-07 19:14
f5是什么?
WOW巨牛,貌似替换PID的方法被证实不好用。会出问题 |
|
|
10楼#
发布于:2008-05-11 01:13
有在这里发贴胡说八道的时间, 你倒不如亲手去试试
现在的人啊,发贴不经脑子的太多了 |
|
|
11楼#
发布于:2008-05-22 16:36
谁告诉你有意义了,楼上这种傻B太多了 真是受不了
|
|
|