Tesla.Angela 发表于 2010-9-4 16:55:55

突破xiaoly99的Process Guard 7.5

本帖最后由 Tesla.Angela 于 2010-9-4 17:00 编辑

xiaoly99毕竟年轻,考虑事情不周到啊。:lol
用线程消息洪水攻击即可。

Dim I As Long
For I = 0 To 100
    Call PostThreadMessage(线程ID, I, 0, 0)
Next

Tesla.Angela 发表于 2010-9-4 16:56:58

解决方案是Hook PsLookupThreadByThreadId。:)

xiaoly99 发表于 2010-9-4 18:14:25

并不是不周到.
Process Guard 8仅仅Hook了三个函数:
ObReferenceObjectByHandle
ObReferenceObjectByPointer
ObReferenceObjectSafe
你觉得这个如何?

本网站最菜的人 发表于 2010-9-4 19:52:45

ok100fen 发表于 2010-9-4 20:47:22

xiaoly99毕竟年轻,考虑事情不周到啊。
用线程消息洪水攻击即可。
Tesla.Angela 发表于 2010-9-4 16:55 http://www.m5home.com/bbs/images/common/back.gif


原理是不是向这个线程发送消息
发多了,这个线程就崩溃了
就像ddos网站的原理一样?

还有线程id是怎么得到的?

ok100fen 发表于 2010-9-4 20:48:51

还有
Hook PsLookupThreadByThreadId这个之后,是不是就不能用PostThreadMessage这个函数了?

a33287651 发表于 2010-9-4 22:09:39

Tesla.Angela 发表于 2010-9-5 01:01:24

回复 5# ok100fen


差不多吧。。。
线程ID用XT得到

Tesla.Angela 发表于 2010-9-5 01:14:56

本帖最后由 Tesla.Angela 于 2010-9-5 01:18 编辑

回复 3# xiaoly99


ObReferenceObjectSafe是什么来的?
如果是我,我只挂钩KiFastCallEntry。处理:
NtOpenProcess
NtOpenThread
NtDuplicateObject
NtUserPostThreadMessage
外加:
随机窗口名
随机类名
随机控件名
(让你找不到攻击的依据,前提是你不知道进程ID)

ok100fen 发表于 2010-9-5 09:06:48

回复ok100fen


差不多吧。。。
线程ID用XT得到
Tesla.Angela 发表于 2010-9-5 01:01 http://www.m5home.com/bbs/images/common/back.gif



在XT的哪个选项?
我怎么没找到?

xiaoly99 发表于 2010-9-5 09:25:41

ObReferenceObjectByHandle - NtTerminateProcess(Thread)
ObReferenceObjectByPointer - ObOpenObjectByPointer
ObReferenceObjectSafe - PsLookupProcess(Thread)ByProcess(Thread)Id
其中第三个在Xp上还能造成进程隐藏的效果.
PS:搞什么搞,我说的是在PspExitProcess或ObKillProcess里搞死循环,然后进程就"结束不掉"了.真是的,个人观点只能是个人观点.还有,硬编码"找茬"毕竟只能给系统找茬,在Xp上的多核和双核内核文件还有些函数头不一样呢.还是从导出函数找好,不过像微点这种**的,居然在PsTerminateSystemThread做CallHook,不过这样就好玩了,我们也可以拦截微点的处理函数......

Tesla.Angela 发表于 2010-9-5 12:01:00

回复 10# ok100fen


进程 => 查看线程

Xor 发表于 2011-8-16 18:51:48

xiaoly99 发表于 2010-9-4 18:14 static/image/common/back.gif
并不是不周到.
Process Guard 8仅仅Hook了三个函数:
ObReferenceObjectByHandle


是http://vbasm.com/thread-4257-1-1.html么?不是kiiinserqueueapc吗

xiaoly99 发表于 2011-8-17 03:52:24

Xor 发表于 2011-8-16 18:51 static/image/common/back.gif
是http://vbasm.com/thread-4257-1-1.html么?不是kiiinserqueueapc吗

        首先, 如果一定要搞 Ob 系的函数, 那三个函数只是在 Xp 上有很大的作用, 在 NT6 的系统上作用就不是太明显了.
        其次, 我也好久都没搞内核了...... ProcessGuard 所有版本和以前的一些废品一起删掉了......
        如果要做产品级的, 还是遵循 TA 的吧, Hook KiFastCallEntry, 这算是在 User-Mode 最保险的手段了.
        我做做的话, 就 Hook 你说过的那个 KiDe****Apc 就行了, 如果是自己程序的线程, 就在调用 Apc 之前把 Apc 的 Dispatch Function 全部换成预先准备好的空函数...... 这样效果挺好, 再加上轮询 Hook = =

Tesla.Angela 发表于 2011-8-17 13:07:03

Xor 发表于 2011-8-16 18:51 static/image/common/back.gif
是http://vbasm.com/thread-4257-1-1.html么?不是kiiinserqueueapc吗

关于进程的知识我也不太记得了。。。
听小力说吧。。。
页: [1]
查看完整版本: 突破xiaoly99的Process Guard 7.5