a33287651 发表于 2010-8-15 21:36:26

马大哈 发表于 2010-8-16 10:47:06

MiniSafe是一款基于主动防御技术开发的安全软件,主要有以下几个功能。

1、阻止程序远程线程注入的恶意行为。虽然不少杀毒厂商的杀软也在防远程线程的功能,但是他们的方法还不彻底,很容易被绕过,而MiniSafe使用了更为先进的判定技术,很难被绕过。

2、阻止远程钩子的加载。远程钩子是木马程序窃取密码的主要手段,防住它,就防住了木马的主大门。

3、拦截了驱动加载。现在已经有越来越多的病毒木马使用了RootKit技术,拦截驱动加载十分有必要,而不少杀软要么没拦截,要么拦截了默认不开启,这是非常危险的。

4、拦截了利用物理内存对象、ZwSetSytemInformation、ZwSystemDebugControl等Dirty方法非法进入Ring0的RootKit。

5、拦截了U盘插入后所有的进程创建,防止病毒通过U盘autorun自动传播。

6、能够预防内存清零结束进程、映像劫持过Hips(指新建一个受Hips信任的进程,再修改其内存偷梁换柱,不是指那个修改注册表的)等流行病毒技术。

7、对注册表关键部分进行了保护,预防病毒通过注册表自动运行。

8、拦截了PhysicalDriver对象的使用,可以使机器狗病毒失效并能预防病毒通过使用该对象破坏硬盘。

9、还有其它一些小功能,如禁止autorun.inf文件创建,系统时间修改提示等,都尽可能地为用户保安全。

10、可以对exe文件写保护,但由于太多程序会对exe文件进行写操作,所以默认值是关闭的,当你想运行一个程序但又怕它感染你硬盘上的文件的话,那么这个功能就可以大派用场了。

//

原来是一款安全软件.

大家就是在这样子较量着啊.......

a33287651 发表于 2010-8-16 17:41:11

马大哈 发表于 2010-8-17 09:33:51

{:1_110:}确实木有......原来是这个........

不过刚刚傻了,用了陈辉的天琊去结束,结果一下子就结束了,正奇怪的时候,发现窗口中写着"Try Kill Me By User Mode"......我那个汗- -!............

ok100fen 发表于 2010-8-17 13:49:43

用什么软件查出了hook了这么多API?


"Hook了以下api(全局)
NtOpenProcess

NtOpenThread

NtDuplicateObject


CloseWindow

DestroyWindow

EnableWindow

MoveWindow

SetParent

ShowWindow

ShowWindowAsync

EndTask


PostMessageA

PostMessageW


SendMessageA

SendMessageW


SendMessageCallbackA

SendMessageCallbackW


PostThreadMessageA

PostThreadMessageW


SetWindowLongA

SetWindowLongW

模拟ESC


"

a33287651 发表于 2010-8-17 15:57:24

a33287651 发表于 2010-8-17 15:58:43

a33287651 发表于 2010-8-17 17:45:56

a33287651 发表于 2010-8-17 17:46:58

马大哈 发表于 2010-8-17 18:13:50

我这里好象结束不了.

环境:

虚拟机中WIN2003,全裸.

实机WIN2003,装瑞星+360,均未开.

ok100fen 发表于 2010-8-17 19:00:55

倒霉蛋的那个源码在哪?
怎么没找到?

xiaoly99 发表于 2010-8-17 19:14:38

1.我的Windows所有系统通吃
2.我也做了一个
3.我做的没有恢复那些Hook
4.我做的仅仅有29行(包括声明和提权代码)
5.我做的其实原理很简单
6.好像原来MINISafe有源码的,现在没有了
7.我不喜欢用PB做DLL,或者说我不喜欢一个EXE带着一个DLL
8.我喜欢一个EXE带着一个SYS
9.原EXE20480字节,压缩包(WinRar固实最好压缩)只有3127字节.
10.我的只需点一次
11.要源代码的PM我

本网站最菜的人 发表于 2010-8-17 19:59:14

a33287651 发表于 2010-8-17 20:55:04

a33287651 发表于 2010-8-17 20:56:41

a33287651 发表于 2010-8-17 21:01:00

a33287651 发表于 2010-8-17 21:05:32

a33287651 发表于 2010-8-17 21:12:04

xiaoly99 发表于 2010-8-17 21:22:20

回复 17# a33287651
请问您是不是没有常识啊?NtOpenProcess和ZwOpenProcess在Ring3的ntdll都是一样的.
Zw系和Nt系的函数在Ring3都是一样的.
你根本就没有说到我的核心原理.
提权可以不要.
用的Api就是Hook的,只是模块不同.
根本就不是开源.
不信你试试,可以吗?
不行.

xiaoly99 发表于 2010-8-17 21:23:50

当初真应该声明Nt系的函数,居然被......
其实函数地址都是一样的,你用GetProcAddress看看.
NtOpenProcess = ZwOpenProcess(In Ring3)

a33287651 发表于 2010-8-17 21:44:17

a33287651 发表于 2010-8-17 21:55:38

a33287651 发表于 2010-8-17 22:05:49

a33287651 发表于 2010-8-17 22:09:10

a33287651 发表于 2010-8-17 22:11:45

a33287651 发表于 2010-8-17 22:12:08

a33287651 发表于 2010-8-17 22:20:49

a33287651 发表于 2010-8-17 22:24:04

Tesla.Angela 发表于 2010-8-18 00:44:59

回复 28# a33287651


看什么书?
看看《Windows核心编程》也不错。

马大哈 发表于 2010-8-18 09:54:41

回复 22# a33287651

不能发帖就要看看是不是你那里浏览器的设置问题了.....

我这里是OK的,找另几个朋友测试也是OK,权限与你相同.

你清空一下COOKIES与临时文件后再试试看?

xiaoly99 发表于 2010-8-18 10:11:27

1.驴子的这些东西都是DKOM进Ring0的.
2.是XpSp3某个补丁使DKOM失效的.3.DKOM在Server2003和XpSp3以前都有效.
4.我调用函数的方式一样.
5.我调用函数的参数也一样.
6.Zw系的函数永远都是Nt系的函数(在Ring3下).
7.怎么连这点手脚都看不出呢?
8.告诉你原理恐怕你也不会.
9.我在函数上没有做手脚.
10.做手脚的地方明眼人一看就知道,就在你的帖子里.

xiaoly99 发表于 2010-8-18 10:14:20

给个提示:它Hook的是ntdll.dll!NtOpenProcess(ZwOpenProcess).明眼人和有常识的应该看出来了吧.
页: [1] 2
查看完整版本: (更新)Ring3成功结束倒霉蛋的MINISafe.(同时呼唤Ta. 有问题请教)