我也放血一把,R3杀挂丧路灵
其实也不是啥牛逼的API,也不是啥新技术!而且代码我貌似给过N多人了,不过没在紫水晶发现有转载,那就自己再发一遍吧。思路很猥琐,感染+DLL劫持。丧路灵的保护,说实在的,我菜鸟,没能力搞挂它,不过微软的DLL劫持,还没有一个很好的解决方法,就算是把KnownDLLs全部注册,我们还是可以替换系统的DLL,用LPK来举例吧:
实现方法是:
1.拷贝系统的LPK到TEMP目录,感染LPK的SECTION,用来加载我的某个DLL。
2.把LPK.DLL拷贝回系统目录(这个会引起丧路灵报警的,所以用了些猥琐的手段)。
3.随便用个啥API启动丧路灵的某个进程。我的某个DLL,已经被丧路灵加载了。
到这一步已经算是获取了和丧路灵一样的权限了。
可以用最常见,甚至是被杀软盯得很紧的API来蹂躏丧路灵了。杀挂丧路灵,直接在丧路灵下加载驱动,都可以。
在最新的7.6下测试任然有效。
下面是个演示视频:
http://down.qiannao.com/space/file/qiannao/share/2010/10/19/-4e27-8def-7075-4e0a-4f20-8005-67e5-6740-5668-89c6-9891.rar/.page
晕,搞了半天,貌似传不上附件。算了,懂的花个几分钟就实现了。。。
也可以问我要代码。 恩,知道思路了,代码就可以自己写了,楼主别公开放代码。
不过思路放出来,代码也就基本算是废了。。。 楼主再发一篇原创文章,就进核心会员了,加油。。。:)
另外关于附件的问题,我已经重新设置了,对您造成的麻烦,我深表歉意。。。 别放源码,放个BIN就可以了:D 原来这样! 有思路就够了,添加节简单只要学一下pe结构仔细了解一下就可以了,添加节加载指定dll我有写过代码不难 回复 sb666 的帖子
貌似很早前的东西了吧! 都是故意留下的,封得太死就没意思了。 这些安全软件也难防你们,哈哈.;P 我也来发个模拟用户退出360
刚测试时不用断网就能退出
后来就不行了
只能在断网状态模拟退出360
应该是云查杀在作怪吧!
测试版本为7.5
7.6都是有效的
怕失效就不传代码了
楼上的头像很乖啊.你家小公主? 不是的,是别家的小公主 rqqeq 发表于 2011-1-7 17:12 static/image/common/back.gif
跟一个方法:
先把无视WM_QUERYENDSESSION(让系统继续发下去)
再无视WM_ENDSESSION(让系统继续发下去)
sleep 5000 大概是因为系统有一个“关机超时”吧,时间长了系统就会强制关掉,短了就是在杀软之前。
页:
[1]