找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 37419|回复: 64

[原创开源]在WIN64上反蓝屏(效果较好)

 火... [复制链接]

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
发表于 2011-9-24 10:13:38 | 显示全部楼层 |阅读模式
原理是Patch KeBugCheckEx。
在测试前,请看此帖:http://www.vbasm.com/thread-5893-1-1.html

src.rar

1.5 MB, 阅读权限: 10, 下载次数: 504

售价: 2 水晶币  [记录]

源码 + 屏幕录像

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
 楼主| 发表于 2011-9-24 19:47:06 | 显示全部楼层
核心代码:
游客,如果您要查看本帖隐藏内容请回复

8

主题

149

回帖

2

精华

钻石会员

积分
3407
发表于 2011-9-24 20:53:31 | 显示全部楼层
64位小白鼠又来咯……

8

主题

149

回帖

2

精华

钻石会员

积分
3407
发表于 2011-9-24 20:56:31 | 显示全部楼层
话说这种事情我都直接在主系统上实验……要是我的电脑挂了……TA你得给我买个win7正版盘哦~

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
 楼主| 发表于 2011-9-24 23:44:32 | 显示全部楼层
LittlePig 发表于 2011-9-24 20:56
话说这种事情我都直接在主系统上实验……要是我的电脑挂了……TA你得给我买个win7正版盘哦~

理论上说应该没事。。。
如果挂了我给份鲍尔默签名的WIN7旗舰版你下载:http://www.zxtjd.com/thread-18031-1-1.html

6

主题

84

回帖

2

精华

钻石会员

积分
2923
发表于 2011-9-26 12:41:12 | 显示全部楼层
我正好有2008 r2系统,待会去试试。不过真的好强大

8

主题

149

回帖

2

精华

钻石会员

积分
3407
发表于 2011-9-26 16:59:53 | 显示全部楼层
Tesla.Angela 发表于 2011-9-24 23:44
理论上说应该没事。。。
如果挂了我给份鲍尔默签名的WIN7旗舰版你下载:http://www.zxtjd.com/thread-18 ...

………………
(表示其实我是有恢复盘的~)

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
 楼主| 发表于 2011-9-26 20:03:59 | 显示全部楼层
LittlePig 发表于 2011-9-26 16:59
………………
(表示其实我是有恢复盘的~)

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
 楼主| 发表于 2011-12-14 01:07:37 | 显示全部楼层
sb666 发表于 2011-12-13 18:12
是不是用了这个在win7 64下ssdthook就不会蓝


很明显不是,废掉PG不是这么简单的。

17

主题

89

回帖

0

精华

铜牌会员

积分
250
发表于 2012-2-15 10:00:30 | 显示全部楼层
又是回复可见....好吧...

17

主题

89

回帖

0

精华

铜牌会员

积分
250
发表于 2012-3-13 16:55:29 | 显示全部楼层
老大,AntiBugCheck 这个函数里面的那些的opcode 从什么地方来的?麻烦告诉下好吗?是分析什么文件?每当看到特征码的我都搞不懂你们是怎么知道的?谢谢了。

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
 楼主| 发表于 2012-3-13 22:39:02 | 显示全部楼层
wenh7788 发表于 2012-3-13 16:55
老大,AntiBugCheck 这个函数里面的那些的opcode 从什么地方来的?麻烦告诉下好吗?是分析什么文件?每当看 ...

当你的武功到达一定的水平,自然就懂了。。。

17

主题

89

回帖

0

精华

铜牌会员

积分
250
发表于 2012-3-14 13:33:54 | 显示全部楼层
老大,为什么我用windbg 看到的结果不一样呢?

u KeWaitForSingleObject
mov byte ptr[rsp+20h],r9b
mov byte prt[rsp+18h],r8b
mov dword ptr[rsp+10h],edx
push rbx
push rbp
push rsi
push rdi
push r12
。。。。。。

17

主题

89

回帖

0

精华

铜牌会员

积分
250
发表于 2012-3-14 13:42:00 | 显示全部楼层
抱歉,老大我理解错了。不过那段汇编代码的确不知道是怎么来的。求指点。谢谢。

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
 楼主| 发表于 2012-3-14 14:58:43 | 显示全部楼层
wenh7788 发表于 2012-3-14 13:42
抱歉,老大我理解错了。不过那段汇编代码的确不知道是怎么来的。求指点。谢谢。 ...

你加我QQ吧,号码见论坛消息!

17

主题

89

回帖

0

精华

铜牌会员

积分
250
发表于 2012-3-14 17:07:35 | 显示全部楼层
谢谢老大,我晚上回去加你,我现在在公司不方便上个人的qq。

不过我看到网上说KeBugCheckEx不一定可以防止蓝屏,说可以通过hook KeBugCheck2来进行拦截,代码已经写好了,就是里面需要同特征码来去搜索KeBugCheck2 的地址其他的都一样。搜索的方法使用找ssdt的代码。

我今天早上其实测试了老大的代码,是没有用替换文件创建一个启动项的那个方法,我就直接原有的win7 x64 sp1 上 hook KeBugCheckEx然后使用隐藏进程的那个最后 大概2个小时就蓝屏了。
后面我就在网上搜 说还有个KeBugCheck2现在去看看效果去。

希望不要蓝了{:soso_e154:}

0

主题

92

回帖

0

精华

铜牌会员

积分
166
发表于 2012-3-15 16:32:17 | 显示全部楼层
看看学习一下。。。谢谢老大提供。。。

9

主题

117

回帖

0

精华

银牌会员

积分
422
发表于 2012-3-21 04:33:55 | 显示全部楼层
{:soso_e136:} 难道SSDT hook.通过这个来防止蓝屏。

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
 楼主| 发表于 2012-3-21 18:47:44 | 显示全部楼层
xmlpull 发表于 2012-3-21 04:33
难道SSDT hook.通过这个来防止蓝屏。

不是

0

主题

126

回帖

0

精华

铜牌会员

积分
226
发表于 2012-3-27 12:00:24 | 显示全部楼层
看下囉

0

主题

6

回帖

0

精华

初来乍到

积分
12
发表于 2012-4-3 21:29:22 | 显示全部楼层
在测试前,请看此帖:http://www.vbasm.com/thread-5893-1-1.html

0

主题

4

回帖

0

精华

初来乍到

积分
12
发表于 2012-4-30 02:04:47 | 显示全部楼层
看看代码

4

主题

183

回帖

3

精华

钻石会员

积分
4965
发表于 2012-5-18 15:41:25 | 显示全部楼层
看看见没见过

4

主题

183

回帖

3

精华

钻石会员

积分
4965
发表于 2012-5-18 15:44:52 | 显示全部楼层
好淫当,KeWaitForSingleObject(Sytem_EPROCESS,0,0,0)替换KeBugChekEx!话说xor rbx, rbx;mov [rsp+20h], rbx有什么用?

4

主题

183

回帖

3

精华

钻石会员

积分
4965
发表于 2012-5-18 16:39:19 | 显示全部楼层
哦,基础太差了,原来KeWaitForSingleObject是5个参数!

4

主题

62

回帖

1

精华

铂金会员

积分
1523
发表于 2012-5-20 21:24:31 | 显示全部楼层
研究一下,思路很新

0

主题

36

回帖

0

精华

铜牌会员

积分
86
发表于 2012-5-20 21:57:54 | 显示全部楼层

看一下,啥东西!{:soso_e132:}

0

主题

11

回帖

0

精华

铜牌会员

积分
65
发表于 2012-5-22 17:14:37 | 显示全部楼层
Thanks you!!!

4

主题

183

回帖

3

精华

钻石会员

积分
4965
发表于 2012-5-24 19:58:08 | 显示全部楼层
点击关机按钮后,无法创建进程,并且劫持关机程序无法劫持关机消息,连调用zwshutdownsystem的机会都不给,求解答

0

主题

3

回帖

0

精华

初来乍到

积分
31
发表于 2012-9-10 20:45:29 | 显示全部楼层
学习学习

0

主题

11

回帖

0

精华

铜牌会员

积分
45
发表于 2012-10-3 15:30:56 | 显示全部楼层
看下呢
头像被屏蔽

27

主题

136

回帖

2

精华

金牌会员

积分
2257
发表于 2012-11-5 13:14:01 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表