设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [原创开源]Ring3全局禁止进程创建(x64)
123456下一页
返回列表 发新帖
查看: 75074|回复: 162

[原创开源]Ring3全局禁止进程创建(x64)

 火... [复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2010-11-23 12:07:11 | 显示全部楼层 |阅读模式
如题。在Win7x64下测试通过。X86同理。
由于懒得打字,原理不解释,自己看。
看效果截图请点击这里
核心源码:
游客,如果您要查看本帖隐藏内容请回复

我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2010-11-23 12:08:17 | 显示全部楼层
沙发自己坐,完整源码过一段时间再发布。
另,附上对ntdll!NtCreateUserProcess的反汇编代码:
lkd> u ntdll!NtCreateUserProcess
ntdll!ZwCreateUserProcess:
00000000`77c90980 4c8bd1          mov     r10,rcx
00000000`77c90983 b8aa000000      mov     eax,0AAh
00000000`77c90988 0f05            syscall
00000000`77c9098a c3              ret
00000000`77c9098b 0f1f440000      nop     dword ptr [rax+rax]
游客,如果您要查看本帖隐藏内容请回复
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

1haoyu

4

主题

58

回帖

1

精华

钻石会员

积分
2894
发表于 2010-11-23 16:59:06 | 显示全部楼层
阅读权限10,好帖不知道能不能看到!
回复

举报

ok100fen

90

主题

473

回帖

2

精华

钻石会员

积分
3261
发表于 2010-11-23 20:07:03 | 显示全部楼层
回复一下看看
回复

举报

inside

6

主题

32

回帖

2

精华

核心会员

积分
2250
发表于 2010-11-27 23:28:00 | 显示全部楼层
学习下
回复

举报

rshell

0

主题

62

回帖

0

精华

银牌会员

积分
341
发表于 2010-12-17 13:19:14 | 显示全部楼层
HOOK KiFastSystemCall 真的能干好多少事情HOHO
回复

举报

rshell

0

主题

62

回帖

0

精华

银牌会员

积分
341
发表于 2010-12-17 13:25:50 | 显示全部楼层
还可以深入,想杀软一样jmp出来验证的然后再jmp 回去
回复

举报

srbenga

0

主题

5

回帖

0

精华

初来乍到

积分
5
发表于 2011-1-12 07:43:27 | 显示全部楼层
great2
回复

举报

huzhao23

0

主题

74

回帖

0

精华

银牌会员

积分
436
发表于 2011-2-14 01:20:03 | 显示全部楼层
楼主的技术真的很强大,只能膜拜了
回复

举报

LittlePig

8

主题

149

回帖

2

精华

钻石会员

积分
3407
发表于 2011-2-15 20:50:19 | 显示全部楼层
回帖,看看能不能加到我那个“小心狗眼”里面去~
导航屋编程论坛
回复

举报

LittlePig

8

主题

149

回帖

2

精华

钻石会员

积分
3407
发表于 2011-2-15 20:55:02 | 显示全部楼层
回复 Tesla.Angela 的帖子

可是这么一来就没办法进入ring0了,部分安全软件好像就不能正常工作了……

点评

Tesla.Angela
对开启了保护的进程无效。  发表于 2011-2-15 22:58
导航屋编程论坛
回复

举报

LittlePig

8

主题

149

回帖

2

精华

钻石会员

积分
3407
发表于 2011-2-16 18:13:02 | 显示全部楼层
好吧= =
导航屋编程论坛
回复

举报

324190121

2

主题

9

回帖

0

精华

铜牌会员

积分
103
发表于 2011-3-2 19:23:46 | 显示全部楼层
支持
回复

举报

324190121

2

主题

9

回帖

0

精华

铜牌会员

积分
103
发表于 2011-3-2 19:24:05 | 显示全部楼层
看看
回复

举报

lxl1638

7

主题

36

回帖

2

精华

初来乍到

积分
3171
发表于 2011-3-6 17:17:52 | 显示全部楼层
看看,或者有用。
回复

举报

Xor

40

主题

324

回帖

0

精华

铂金会员

Eax=0

积分
1575
发表于 2011-4-2 19:26:37 | 显示全部楼层
have 一个 look
Do my best.
回复

举报

demon1385

0

主题

8

回帖

0

精华

初来乍到

积分
24
发表于 2011-5-8 10:24:46 | 显示全部楼层
看一看
回复

举报

yxd199512041

71

主题

350

回帖

2

精华

钻石会员

积分
4123
发表于 2011-8-18 19:59:10 | 显示全部楼层
see see
回复

举报

yyking

1

主题

6

回帖

0

精华

初来乍到

积分
12
发表于 2011-8-18 20:27:40 | 显示全部楼层
look look
回复

举报

ithurricane
头像被屏蔽

3

主题

35

回帖

3

精华

铂金会员

积分
4902
发表于 2011-8-19 10:03:49 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2011-8-19 20:15:32 | 显示全部楼层
忽然发现原来的想法太复杂了,直接NOP掉开头十个字节就完事了。。。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

4501576791

4

主题

13

回帖

0

精华

铜牌会员

积分
59
QQ
发表于 2011-9-5 21:42:30 | 显示全部楼层
初步估计我的阅读权限不够。。。。。。。。。。。:dizzy:
嘻嘻···
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2011-9-5 22:04:26 | 显示全部楼层
4501576791 发表于 2011-9-5 21:42
初步估计我的阅读权限不够。。。。。。。。。。。

“需要回复才能浏览”的内容与阅读权限无关,之前是,以后也是。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

神马会飞

0

主题

3

回帖

0

精华

初来乍到

积分
6
发表于 2011-9-8 07:55:21 | 显示全部楼层
支持一下
回复

举报

zjwzlh

0

主题

15

回帖

0

精华

铜牌会员

小白

积分
62
发表于 2011-9-8 22:32:55 | 显示全部楼层
哈哈,好东西,看看
到后来才发现爱你是一种习惯
回复

举报

testid

12

主题

144

回帖

0

精华

铜牌会员

积分
281
发表于 2011-9-19 11:29:00 | 显示全部楼层
看看隐藏的内容
回复

举报

520zone

0

主题

14

回帖

0

精华

初来乍到

积分
16
发表于 2011-9-24 13:27:52 | 显示全部楼层
看看群主的R3 控制部分
回复

举报

wszjljx

21

主题

162

回帖

4

精华

论坛元老

Tokyo-Hot

积分
5945
QQ
发表于 2011-9-24 19:18:54 | 显示全部楼层
来看看是咋做到的...对X64没研究...
洗澡脱光衣服打开水才发现自己没带洗发水没带沐浴乳只带了一包洗衣粉 心酸的用洗衣粉把自己搓了一遍... ...
回复

举报

a33287651
头像被屏蔽

27

主题

136

回帖

2

精华

铂金会员

积分
2257
发表于 2011-10-1 19:54:56 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

举报

BillBeggar

1

主题

43

回帖

0

精华

铜牌会员

积分
135
发表于 2011-10-16 00:30:17 | 显示全部楼层
看看
回复

举报

9908006

16

主题

81

回帖

0

精华

银牌会员

积分
611
发表于 2011-11-2 20:21:31 | 显示全部楼层
回复一下看看
回复

举报

x64asm

1

主题

39

回帖

0

精华

铜牌会员

积分
299
发表于 2011-11-3 02:06:33 | 显示全部楼层
本帖最后由 x64asm 于 2011-11-3 02:10 编辑

原理就是替换了函数入口点为
0x90,0xc3,0x90


伪代码就是
  1. nop
  2. retn
  3. nop
复制代码
让函数什么都不做直接返回

可是大家照样可以SYSCALL SYSRET呢
回复

举报

123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表