设为首页收藏本站
开启辅助访问 切换到宽版

紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [原创开源]Ring3全局禁止进程创建(x64)
12345678910... 17下一页
返回列表 发新帖
楼主: Tesla.Angela

[原创开源]Ring3全局禁止进程创建(x64)

  [复制链接]
9908006

16

主题

97

帖子

0

精华

银牌会员

Rank: 3Rank: 3Rank: 3

积分
611
发表于 2011-11-2 20:21:31 | 显示全部楼层
回复一下看看
回复 支持 反对

举报

x64asm

1

主题

40

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
299
发表于 2011-11-3 02:06:33 | 显示全部楼层
本帖最后由 x64asm 于 2011-11-3 02:10 编辑

原理就是替换了函数入口点为
0x90,0xc3,0x90


伪代码就是
  1. nop
  2. retn
  3. nop
复制代码
让函数什么都不做直接返回

可是大家照样可以SYSCALL SYSRET呢
回复 支持 反对

举报

Tesla.Angela

854

主题

3481

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36100
 楼主| 发表于 2011-11-3 10:41:05 | 显示全部楼层
x64asm 发表于 2011-11-3 02:06
原理就是替换了函数入口点为
0x90,0xc3,0x90

恩,对NATIVE API确实没什么用。自己构造一下机器码就行了。
但是在大部分场合还是有用的。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复 支持 反对

举报

wxfmsf

0

主题

4

帖子

0

精华

初来乍到

Rank: 1

积分
26
发表于 2011-11-7 09:47:01 | 显示全部楼层
hook ok I look
回复 支持 反对

举报

freecat

0

主题

68

帖子

0

精华

论坛元老

Rank: 7Rank: 7Rank: 7

积分
432738
发表于 2011-11-7 21:52:31 | 显示全部楼层
看一下了
回复 支持 反对

举报

p1b234

0

主题

2

帖子

0

精华

初来乍到

Rank: 1

积分
22
发表于 2011-11-7 22:39:08 | 显示全部楼层
谢谢分享,学习下
回复 支持 反对

举报

xmlpull

9

主题

126

帖子

0

精华

银牌会员

Rank: 3Rank: 3Rank: 3

积分
422
发表于 2011-12-16 23:54:14 | 显示全部楼层
{:soso_e104:} KiFastSystemCall
回复 支持 反对

举报

sWZ

0

主题

11

帖子

0

精华

初来乍到

Rank: 1

积分
23
发表于 2012-1-10 16:47:31 | 显示全部楼层
学习膜拜一下。看看是纯ring3嘛
回复 支持 反对

举报

iloveqqp

0

主题

126

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
226
发表于 2012-3-9 01:22:30 | 显示全部楼层
我也回复一下看看
回复 支持 反对

举报

zhaogrand

2

主题

14

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
39
发表于 2012-3-11 10:40:49 | 显示全部楼层
好东西就要支持
回复 支持 反对

举报

12345678910... 17下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-4-23 16:04 , Processed in 0.031384 second(s), 23 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表