论坛广场 › WINDOWS核心编程 › [原创开源]Ring3全局禁止进程创建(x64)

Tesla.Angela 发表于 2010-11-23 12:07:11

[原创开源]Ring3全局禁止进程创建(x64)

如题。在Win7x64下测试通过。X86同理。
由于懒得打字，原理不解释，自己看。
看效果截图请点击这里。
核心源码：
**** Hidden Message *****

Tesla.Angela 发表于 2010-11-23 12:08:17

沙发自己坐，完整源码过一段时间再发布。
另，附上对ntdll!NtCreateUserProcess的反汇编代码：
lkd> u ntdll!NtCreateUserProcess
ntdll!ZwCreateUserProcess:
00000000`77c90980 4c8bd1          mov   r10,rcx
00000000`77c90983 b8aa000000      mov   eax,0AAh
00000000`77c90988 0f05            syscall
00000000`77c9098a c3            ret
00000000`77c9098b 0f1f440000      nop   dword ptr **** Hidden Message *****

1haoyu 发表于 2010-11-23 16:59:06

阅读权限10，好帖不知道能不能看到！

ok100fen 发表于 2010-11-23 20:07:03

回复一下看看

inside 发表于 2010-11-27 23:28:00

学习下

rshell 发表于 2010-12-17 13:19:14

HOOK KiFastSystemCall 真的能干好多少事情HOHO

rshell 发表于 2010-12-17 13:25:50

还可以深入,想杀软一样jmp出来验证的然后再jmp 回去

srbenga 发表于 2011-1-12 07:43:27

great2

huzhao23 发表于 2011-2-14 01:20:03

楼主的技术真的很强大，只能膜拜了

LittlePig 发表于 2011-2-15 20:50:19

回帖，看看能不能加到我那个“小心狗眼”里面去~:lol

LittlePig 发表于 2011-2-15 20:55:02

回复 Tesla.Angela 的帖子

可是这么一来就没办法进入ring0了，部分安全软件好像就不能正常工作了……

LittlePig 发表于 2011-2-16 18:13:02

好吧= =

324190121 发表于 2011-3-2 19:23:46

支持

324190121 发表于 2011-3-2 19:24:05

看看

lxl1638 发表于 2011-3-6 17:17:52

看看，或者有用。

Xor 发表于 2011-4-2 19:26:37

have 一个 look

demon1385 发表于 2011-5-8 10:24:46

看一看

yxd199512041 发表于 2011-8-18 19:59:10

see see

yyking 发表于 2011-8-18 20:27:40

look look

ithurricane 发表于 2011-8-19 10:03:49

Tesla.Angela 发表于 2011-8-19 20:15:32

忽然发现原来的想法太复杂了，直接NOP掉开头十个字节就完事了。。。

4501576791 发表于 2011-9-5 21:42:30

初步估计我的阅读权限不够。。。。。。。。。。。:dizzy::Q

Tesla.Angela 发表于 2011-9-5 22:04:26

4501576791 发表于 2011-9-5 21:42 static/image/common/back.gif
初步估计我的阅读权限不够。。。。。。。。。。。

“需要回复才能浏览”的内容与阅读权限无关，之前是，以后也是。

神马会飞 发表于 2011-9-8 07:55:21

支持一下:)

zjwzlh 发表于 2011-9-8 22:32:55

哈哈，好东西，看看

testid 发表于 2011-9-19 11:29:00

看看隐藏的内容

520zone 发表于 2011-9-24 13:27:52

看看群主的R3 控制部分

wszjljx 发表于 2011-9-24 19:18:54

来看看是咋做到的...对X64没研究...

a33287651 发表于 2011-10-1 19:54:56

BillBeggar 发表于 2011-10-16 00:30:17

看看

9908006 发表于 2011-11-2 20:21:31

回复一下看看

x64asm 发表于 2011-11-3 02:06:33

本帖最后由 x64asm 于 2011-11-3 02:10 编辑

原理就是替换了函数入口点为
0x90,0xc3,0x90


伪代码就是nop
retn
nop让函数什么都不做直接返回

可是大家照样可以SYSCALL SYSRET呢

查看完整版本: [原创开源]Ring3全局禁止进程创建(x64)