[原创开源]在WIN64上反蓝屏（效果较好）

Tesla.Angela · 发表于 2011-9-24 10:13:38

原理是Patch KeBugCheckEx。
在测试前，请看此帖：http://www.vbasm.com/thread-5893-1-1.html

Tesla.Angela · 发表于 2011-9-24 19:47:06

核心代码：

游客，如果您要查看本帖隐藏内容请回复

LittlePig · 发表于 2011-9-24 20:53:31

64位小白鼠又来咯……

LittlePig · 发表于 2011-9-24 20:56:31

话说这种事情我都直接在主系统上实验……要是我的电脑挂了……TA你得给我买个win7正版盘哦~

Tesla.Angela · 发表于 2011-9-24 23:44:32

LittlePig 发表于 2011-9-24 20:56
话说这种事情我都直接在主系统上实验……要是我的电脑挂了……TA你得给我买个win7正版盘哦~

理论上说应该没事。。。
如果挂了我给份鲍尔默签名的WIN7旗舰版你下载：http://www.zxtjd.com/thread-18031-1-1.html

sunshinebean · 发表于 2011-9-26 12:41:12

我正好有2008 r2系统,待会去试试。不过真的好强大

LittlePig · 发表于 2011-9-26 16:59:53

Tesla.Angela 发表于 2011-9-24 23:44
理论上说应该没事。。。
如果挂了我给份鲍尔默签名的WIN7旗舰版你下载：http://www.zxtjd.com/thread-18 ...

………………
（表示其实我是有恢复盘的~）

Tesla.Angela · 发表于 2011-9-26 20:03:59

LittlePig 发表于 2011-9-26 16:59
………………
（表示其实我是有恢复盘的~）

Tesla.Angela · 发表于 2011-12-14 01:07:37

sb666 发表于 2011-12-13 18:12
是不是用了这个在win7 64下ssdthook就不会蓝

很明显不是，废掉PG不是这么简单的。

wenh7788 · 发表于 2012-2-15 10:00:30

又是回复可见....好吧...

wenh7788 · 发表于 2012-3-13 16:55:29

老大，AntiBugCheck 这个函数里面的那些的opcode 从什么地方来的？麻烦告诉下好吗？是分析什么文件？每当看到特征码的我都搞不懂你们是怎么知道的？谢谢了。

Tesla.Angela · 发表于 2012-3-13 22:39:02

wenh7788 发表于 2012-3-13 16:55
老大，AntiBugCheck 这个函数里面的那些的opcode 从什么地方来的？麻烦告诉下好吗？是分析什么文件？每当看 ...

当你的武功到达一定的水平，自然就懂了。。。

wenh7788 · 发表于 2012-3-14 13:33:54

老大，为什么我用windbg 看到的结果不一样呢？

u KeWaitForSingleObject
mov byte ptr[rsp+20h],r9b
mov byte prt[rsp+18h],r8b
mov dword ptr[rsp+10h],edx
push rbx
push rbp
push rsi
push rdi
push r12
。。。。。。

wenh7788 · 发表于 2012-3-14 13:42:00

抱歉，老大我理解错了。不过那段汇编代码的确不知道是怎么来的。求指点。谢谢。

Tesla.Angela · 发表于 2012-3-14 14:58:43

wenh7788 发表于 2012-3-14 13:42
抱歉，老大我理解错了。不过那段汇编代码的确不知道是怎么来的。求指点。谢谢。 ...

你加我QQ吧，号码见论坛消息！

wenh7788 · 发表于 2012-3-14 17:07:35

谢谢老大，我晚上回去加你，我现在在公司不方便上个人的qq。

不过我看到网上说KeBugCheckEx不一定可以防止蓝屏，说可以通过hook KeBugCheck2来进行拦截，代码已经写好了，就是里面需要同特征码来去搜索KeBugCheck2 的地址其他的都一样。搜索的方法使用找ssdt的代码。

我今天早上其实测试了老大的代码，是没有用替换文件创建一个启动项的那个方法，我就直接原有的win7 x64 sp1 上 hook KeBugCheckEx然后使用隐藏进程的那个最后大概2个小时就蓝屏了。
后面我就在网上搜说还有个KeBugCheck2现在去看看效果去。

希望不要蓝了{:soso_e154:}

qwert502 · 发表于 2012-3-15 16:32:17

看看学习一下。。。谢谢老大提供。。。

xmlpull · 发表于 2012-3-21 04:33:55

{:soso_e136:} 难道ＳＳＤＴ　hook.通过这个来防止蓝屏。

Tesla.Angela · 发表于 2012-3-21 18:47:44

xmlpull 发表于 2012-3-21 04:33
难道ＳＳＤＴ　hook.通过这个来防止蓝屏。

不是

iloveqqp · 发表于 2012-3-27 12:00:24

看下囉

魂牵梦萦 · 发表于 2012-4-3 21:29:22

在测试前，请看此帖：http://www.vbasm.com/thread-5893-1-1.html

evilycool · 发表于 2012-4-30 02:04:47

看看代码

watchsky · 发表于 2012-5-18 15:41:25

看看见没见过

watchsky · 发表于 2012-5-18 15:44:52

好淫当，KeWaitForSingleObject(Sytem_EPROCESS,0,0,0)替换KeBugChekEx!话说xor rbx, rbx；mov [rsp+20h], rbx有什么用？

watchsky · 发表于 2012-5-18 16:39:19

哦，基础太差了，原来KeWaitForSingleObject是5个参数！

xxy19804 · 发表于 2012-5-20 21:24:31

研究一下，思路很新

9298 · 发表于 2012-5-20 21:57:54

看一下，啥东西！{:soso_e132:}

tsutair · 发表于 2012-5-22 17:14:37

Thanks you!!!

watchsky · 发表于 2012-5-24 19:58:08

点击关机按钮后，无法创建进程，并且劫持关机程序无法劫持关机消息，连调用zwshutdownsystem的机会都不给，求解答

yipihaoma · 发表于 2012-9-10 20:45:29

学习学习

ghost2002910 · 发表于 2012-10-3 15:30:56

看下呢

a33287651 · 发表于 2012-11-5 13:14:01

提示: 作者被禁止或删除内容自动屏蔽

账号		自动登录	找回密码
密码			加入我们