给代码是没问题的,我开学前会给大家一点礼物的。
进程防结束?论坛里有不少吧,你找找吧。 本帖最后由 Tesla.Angela 于 2010-8-12 22:55 编辑
HD的忠实支持者 嘻嘻
我最近看了看,ChenHui,倒霉蛋等人做的进程保护真的不错
无dll(或vb dll),无驱动,有的还是纯vb,全局hook
哈哈,召唤下hd
写点伟大的代码出来吧,
其实炉子远不如你(作为老师的角度来讲 _
炉子只会扔一段ASM _
)
我做了个进程保护(其实不能防结束,结束就会蓝屏,窘,
没有技术含量,
呼唤.....
HD写个进程防结束src给我们吧~
a33287651 发表于 2010-8-12 13:51 http://www.m5home.com/bbs/images/common/back.gif
另外不要拿我和炉子比较,我不相识他,他对别人怎么样我不关心,我也不想知道。大路朝天,各走一边就是了。
我不希望有人通过贬低炉子来抬高我,也不在乎别人通过贬低我来抬高炉子。
总而言之,TA和炉子是两个完全没有关联与可比性的人。 成熟了 本帖最后由 Tesla.Angela 于 2010-8-12 19:10 编辑
谢了.
以后我不会乱加评价.
By the way,我以后要好好学习,争取做一个出色的 _
a33287651 发表于 2010-8-12 17:06 http://www.m5home.com/bbs/images/common/back.gif
这就对了,大家上网都是为了学习交流,又不是打仗,没什么好比较的。
评价就更加不必要了,又不是自己家里人或者杰出人物,评价作甚,由他去吧。 本帖最后由 Tesla.Angela 于 2010-8-12 19:11 编辑
回复 5# ok100fen
蒙承OK大哥夸奖。。。
是啊,想起自己在09年的所作所为,现在也觉得很搞啊,呵呵。 你的那首诗,能代表你的一个时期
但是看不到那首诗后,我很pf你了
其实老马的境界就很高了
特别是我发现他那个僵尸账号,这个人不一般 回复 6# a33287651
还能Hook KiUnwaitThread实现进程防杀,准确的说是线程防杀.
其实Hook KiUnwaitThread的ByPass办法(针对Dew系列产品)是Hook RtlGetCallerAddress/Hook KeGetCurrentIrql/Hook IoGetThreadsProcess.
Hook KiUnwaitThread可以说比KeFocusResumeThread和KiInsertQueueApc底层,和InsertHeadList同级.
-----我是杯具的分割线-----
实现方法:PEPROCESS DewProcess;
VOID FASTCALL KiUnwaitThreadCallBack (PRKTHREAD Thread,LONG_PTR WaitStatus,KPRIORITY Increment)
{
PVOID pKiInsertQueueApc;
PVOID pKeInsertQueueApc;
RtlGetCallersAddress(pKeInsertQueueApc,pKiInsertQueueApc);
if ((pKeInsertQueueApc == KeInsertQueueApc) && (IoGetThreadsProcess(Thread) == DewProcess))
{
DewReWriteApcList(Thread);
}
else
{
KiUnwaitThreadRawProc(Thread,WaitStatus,Increment);
}
} 本帖最后由 Tesla.Angela 于 2010-8-12 22:24 编辑
回复 9# ok100fen
哪首诗?“云在青天水在瓶”这首?
另外我也是从游客账号中看出老马不是普通人,是那种胸怀特别开阔的人。上次看到有人在论坛骂老马,老马也不计较,一笑而过,更加证明了他开阔的胸襟(现在很多人别人无意中得罪了他或和他有过过节,就蹦起来骂别人十句了,而且还用那些特别下流、恶心、龌鹺的词)。
大家要向老马学习啊。:lol 回复 10# xiaoly99
简单说一下dew系列产品是什么? 为liangguochang正在开发的小孩全功能安全软件提供内核
1.Hook MmCreateSection,拦截DLL/EXE/SYS加载
2.Hook KiUnwaitThread,防线程结束
3.Hook PspExitProcess,防进程结束(Call PspExitProcess时进程所有的线程已经被结束.只能死循环,创造一个表面意义上的进程)
其中第3点就是专门防TaPvase那样通过CR3修改来搞进程的,第3点对于那个"Zzzianes"的VirtualProtect的也有效.(理论上)
第2点可以拦截所有APC插入,因为你插了Apc肯定要调用KeFocusResumeThread来唤醒线程,那就肯定会调用KiUnwaitThread.
其实KiUnwaitThread处理不慎很容易蓝屏的,因为这个函数和线程调度有关,运行在很高的IRQL上. 为liangguochang正在开发的小孩全功能安全软件提供内核
1.Hook MmCreateSection,拦截DLL/EXE/SYS加载
2.H ...
xiaoly99 发表于 2010-8-13 09:26 http://www.m5home.com/bbs/images/common/back.gif
除了第一点之外,第二第三点我都不认同。 回复 14# a33287651
你可以看看《黑客防线》,上面有很多讲HOOK的文章。 进程保护的代码不是在这里吗?
http://www.m5home.com/bbs/thread-3613-1-1.html 本帖最后由 Tesla.Angela 于 2010-8-13 10:59 编辑
回复 13# xiaoly99
希望你能明白,进程防杀到了Ring0都是没有意义的。做好Ring3的防杀工作就行了。且不说Shadow SSDT上的函数,我只HOOK以下函数:
1.PsLookupThreadByThreadId
2.ObReferenceObjectByHandle
如果要做到完整防杀,Shadow SSDT上的函数起码要钩30个。
另外最重要的不是SetXXX函数,而是GetXXX函数(使用欺骗手段)。 您以前Hook KeInsertQueueApc,KiInsertQueueApc,PspTerminateThreadByPointer也是没意义的(你可能这样认为,我不是)
请问IceLight Hook KeInsertQueueApc+0x3b也是没意义的吗?
我觉得您Tesla.Angela神牛这样认为的基础恐怕是杀毒软件们大多数Hook SSDT,Hook KiFastCallEntry吧.
那照您的说法,请问是不是驱动进了Ring0.我Hook MmCreateSectin拦截就没用了.所有杀毒软件的防护都没用了.
那照您的说法,Hook KiUnwaitThread无法拦截Ring3插Apc对吗?
那照您的说法,进程结束回调+0xfeeb不能使进程结束不了吗(失去响应的进程)?
-------这是杯具的分割线-------
我认为以上6点统统是不对的,您可能认为是对的.
-------本次辩解结束------- 以上言论仅仅在2010年8月13日11点17分有效,过了该言论的作用域后,本人对该言论均不负责. 我还想说一句:做程序毕竟还是自己做,不是别人做.别人对你做好的功能不同意,难道你就要把它删除吗?显然不可能.
您以前Hook KeInsertQueueApc,KiInsertQueueApc,PspTerminateThreadByPointer也是没意义的(你可能这样认为,我不是)
请问IceLight Hook KeInsertQueueApc+0x3b也是没意义的吗?
我觉得您Tesla.Angela神牛这样认为的基础恐怕是杀毒软件们大多数Hook SSDT,Hook KiFastCallEntry吧.
那照您的说法,请问是不是驱动进了Ring0.我Hook MmCreateSectin拦截就没用了.所有杀毒软件的防护都没用了.
那照您的说法,Hook KiUnwaitThread无法拦截Ring3插Apc对吗?
那照您的说法,进程结束回调+0xfeeb不能使进程结束不了吗(失去响应的进程)?
xiaoly99 发表于 2010-8-13 11:16 http://www.m5home.com/bbs/images/common/back.gif
Hook Ke(i)之类的东西在产品上确实没有意义,只能拿到论坛上娱乐。
顺便请教下,[进程结束回调+0xfeeb]是什么来的? 我想问Tesla.Angela神牛一句:OBORH和PLTBTI也是内核函数,有些驱动也要调用它们.那么,请问它们不是Ring0的吗?难道它们是Ring3的函数吗?显然不可能. 本帖最后由 Tesla.Angela 于 2010-8-13 11:35 编辑
我还想说一句:做程序毕竟还是自己做,不是别人做.别人对你做好的功能不同意,难道你就要把它删除吗?显然不可能 ...
xiaoly99 发表于 2010-8-13 11:25 http://www.m5home.com/bbs/images/common/back.gif
兄弟误解了,我只是说说我的看法,并没有要你怎么做(注意:认同和认可的区别)。
如果您认为我的话刺耳,我把我的帖子删除就行。 回复 28# a33287651
窗体攻击360很简单,得到窗体后把它的窗体涂黑即可。 回复 25# a33287651
书籍:《深入解析Windows操作系统5th》 回复 26# a33287651
1.要了解HOOK,你必须学一下汇编语言。
2.谁都可以卸载别人的驱动,XueTr有提供这样的功能。 回复 26# a33287651
QQ已经加了你,不过我一般不上QQ,有什么问题到论坛上问吧。
页:
[1]
2