进程保护挑战 - 无HOOK无KDOM，微软标准函数

看到有人诟病360的自我保护，又见江民、微点等一堆国内挫人使用一大堆HOOK对自己的进程做保护
导致系统不稳定还保护不住

于是放点东西出来给大家玩玩，欢迎挑战

测试程序没有使用任何HOOK，没有使用任何KDOM，没有修改任何未公开的数据结构或调用，完全是微软的标准接口和函数，却让无数进程结束，ARK工具望之兴叹，哈哈！

以下是无法结束本测试程序的程序列表，欢迎各位测试自己的工具，逐步更新此表

Icesword 1.22 ---  failed
RKU 3.7 ---  failed
gmer 1.14 ---  failed
SnipeSword 20080225 -- failed
Wsyscheck 20080223  --failed
墨者安全专家进程管理3.05 --- failed
DarkSpy 1.0.5 --- failed
SysProt 1.0.0.5 --- failed

挑战规则：

让进程退出

禁止：
不允许攻击窗口

不允许恢复驱动使用标准函数建立的接口等

不允许破坏驱动内部数据或代码流程（例如保护PID值）
不允许类似上面的技巧

测试程序见压缩包:


测试方法:使用Driver Monitor或DrvLoad等工具加载ppxx.sys
运行ppxx.exe

尝试将其结束

老大，IDA也要给点专业精神啊，你反的不正确，这样会误导后来的同志们的

啥呢，楼上也没搞清楚。。。
建议还是仔细IDA F5后再发言~

楼上的两个办法都算是作弊

1.hook kexxx,实际是干扰了保护驱动程序本身的工作流程，试想，如果我不用kedelay呢？这只能算只针对性的攻击


2.给DEVICE发请求改PID，是修改了保护驱动本身的数据，试想，我换一个IOCTL，或者干脆用随机的呢？

都是标准函数，有啥不能加载的，仔细看好了，你要先手动加载驱动！偷懒没写加载代码，什么残废版，说话小心点

本身这就是个保护挑战，恶意不恶意，不知道从哪里说起
摘链无疑不现实，因为如果这是个恶意程序，那么它可能根本不用这种一眼就能出来的钩子，试问你怎么摘？

至于什么删除程序，更是可笑，这是进程保护挑战，与文件何干？

WOW老牛出手了 ：）  膜拜先


方法似乎是先取到所有的notify,然后把他们保存下来，最后都干掉
然后自己注册一个，替他们来执行，所以就可以过滤掉指定的PID了（或者TID~）

但是似乎只能执行在XP下 ，首先2K没有REMOVE那个函数，其次2k上就是一张地址表，而XP后则是CallBackObject了
PS：终于看到WOW牛发出的SYS没有CV了，F5好开心~~~

- - ！不过大家为啥都只盯着可怜的notify不放呢。。。
 

只要把你那个清了就都清了，，他们都省事了。。。

当然是故意安排了，PspExitThread和PspExitProcess都要走notify,因此只要你用这两条路退出，基本就必然走notify
一个进程当然至少有一个线程，sleep只是把线程切换出去而已

f5是什么？

WOW巨牛，貌似替换PID的方法被证实不好用。会出问题

有在这里发贴胡说八道的时间， 你倒不如亲手去试试
现在的人啊，发贴不经脑子的太多了

谁告诉你有意义了，楼上这种傻B太多了 真是受不了