紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 49656|回复: 164

[原创开源]Ring3全局禁止进程创建(x64)

  [复制链接]

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
发表于 2010-11-23 12:07:11 | 显示全部楼层 |阅读模式
如题。在Win7x64下测试通过。X86同理。
由于懒得打字,原理不解释,自己看。
看效果截图请点击这里
核心源码:
游客,如果您要查看本帖隐藏内容请回复

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
 楼主| 发表于 2010-11-23 12:08:17 | 显示全部楼层
沙发自己坐,完整源码过一段时间再发布。
另,附上对ntdll!NtCreateUserProcess的反汇编代码:
lkd> u ntdll!NtCreateUserProcess
ntdll!ZwCreateUserProcess:
00000000`77c90980 4c8bd1          mov     r10,rcx
00000000`77c90983 b8aa000000      mov     eax,0AAh
00000000`77c90988 0f05            syscall
00000000`77c9098a c3              ret
00000000`77c9098b 0f1f440000      nop     dword ptr [rax+rax]
游客,如果您要查看本帖隐藏内容请回复

4

主题

62

帖子

1

精华

钻石会员

Rank: 6Rank: 6

积分
2894
发表于 2010-11-23 16:59:06 | 显示全部楼层
阅读权限10,好帖不知道能不能看到!

90

主题

563

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3261
发表于 2010-11-23 20:07:03 | 显示全部楼层
回复一下看看

6

主题

38

帖子

2

精华

核心会员

Rank: 20Rank: 20Rank: 20Rank: 20

积分
2250
发表于 2010-11-27 23:28:00 | 显示全部楼层
学习下

0

主题

62

帖子

0

精华

银牌会员

Rank: 3Rank: 3Rank: 3

积分
341
发表于 2010-12-17 13:19:14 | 显示全部楼层
HOOK KiFastSystemCall 真的能干好多少事情HOHO

0

主题

62

帖子

0

精华

银牌会员

Rank: 3Rank: 3Rank: 3

积分
341
发表于 2010-12-17 13:25:50 | 显示全部楼层
还可以深入,想杀软一样jmp出来验证的然后再jmp 回去

0

主题

5

帖子

0

精华

初来乍到

Rank: 1

积分
5
发表于 2011-1-12 07:43:27 | 显示全部楼层
great2

0

主题

74

帖子

0

精华

银牌会员

Rank: 3Rank: 3Rank: 3

积分
436
发表于 2011-2-14 01:20:03 | 显示全部楼层
楼主的技术真的很强大,只能膜拜了

8

主题

157

帖子

2

精华

钻石会员

Rank: 6Rank: 6

积分
3407
发表于 2011-2-15 20:50:19 | 显示全部楼层
回帖,看看能不能加到我那个“小心狗眼”里面去~:lol
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-3-29 06:59 , Processed in 0.027323 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表