Tesla.Angela 发表于 2011-9-24 10:13:38

[原创开源]在WIN64上反蓝屏(效果较好)

原理是Patch KeBugCheckEx。
在测试前,请看此帖:http://www.vbasm.com/thread-5893-1-1.html

Tesla.Angela 发表于 2011-9-24 19:47:06

核心代码:
**** Hidden Message *****

LittlePig 发表于 2011-9-24 20:53:31

64位小白鼠又来咯……

LittlePig 发表于 2011-9-24 20:56:31

话说这种事情我都直接在主系统上实验……要是我的电脑挂了……TA你得给我买个win7正版盘哦~

Tesla.Angela 发表于 2011-9-24 23:44:32

LittlePig 发表于 2011-9-24 20:56 static/image/common/back.gif
话说这种事情我都直接在主系统上实验……要是我的电脑挂了……TA你得给我买个win7正版盘哦~

理论上说应该没事。。。
如果挂了我给份鲍尔默签名的WIN7旗舰版你下载:http://www.zxtjd.com/thread-18031-1-1.html

sunshinebean 发表于 2011-9-26 12:41:12

我正好有2008 r2系统,待会去试试。不过真的好强大

LittlePig 发表于 2011-9-26 16:59:53

Tesla.Angela 发表于 2011-9-24 23:44 static/image/common/back.gif
理论上说应该没事。。。
如果挂了我给份鲍尔默签名的WIN7旗舰版你下载:http://www.zxtjd.com/thread-18 ...

………………
(表示其实我是有恢复盘的~)

Tesla.Angela 发表于 2011-9-26 20:03:59

LittlePig 发表于 2011-9-26 16:59 static/image/common/back.gif
………………
(表示其实我是有恢复盘的~)

{:1_92:} {:1_92:} {:1_92:}

Tesla.Angela 发表于 2011-12-14 01:07:37

sb666 发表于 2011-12-13 18:12 static/image/common/back.gif
是不是用了这个在win7 64下ssdthook就不会蓝

很明显不是,废掉PG不是这么简单的。

wenh7788 发表于 2012-2-15 10:00:30

又是回复可见....好吧...

wenh7788 发表于 2012-3-13 16:55:29

老大,AntiBugCheck 这个函数里面的那些的opcode 从什么地方来的?麻烦告诉下好吗?是分析什么文件?每当看到特征码的我都搞不懂你们是怎么知道的?谢谢了。

Tesla.Angela 发表于 2012-3-13 22:39:02

wenh7788 发表于 2012-3-13 16:55 static/image/common/back.gif
老大,AntiBugCheck 这个函数里面的那些的opcode 从什么地方来的?麻烦告诉下好吗?是分析什么文件?每当看 ...

当你的武功到达一定的水平,自然就懂了。。。

wenh7788 发表于 2012-3-14 13:33:54

老大,为什么我用windbg 看到的结果不一样呢?

u KeWaitForSingleObject
mov byte ptr,r9b
mov byte prt,r8b
mov dword ptr,edx
push rbx
push rbp
push rsi
push rdi
push r12
。。。。。。

wenh7788 发表于 2012-3-14 13:42:00

抱歉,老大我理解错了。不过那段汇编代码的确不知道是怎么来的。求指点。谢谢。

Tesla.Angela 发表于 2012-3-14 14:58:43

wenh7788 发表于 2012-3-14 13:42 static/image/common/back.gif
抱歉,老大我理解错了。不过那段汇编代码的确不知道是怎么来的。求指点。谢谢。 ...

你加我QQ吧,号码见论坛消息!

wenh7788 发表于 2012-3-14 17:07:35

谢谢老大,我晚上回去加你,我现在在公司不方便上个人的qq。

不过我看到网上说KeBugCheckEx不一定可以防止蓝屏,说可以通过hook KeBugCheck2来进行拦截,代码已经写好了,就是里面需要同特征码来去搜索KeBugCheck2 的地址其他的都一样。搜索的方法使用找ssdt的代码。

我今天早上其实测试了老大的代码,是没有用替换文件创建一个启动项的那个方法,我就直接原有的win7 x64 sp1 上 hook KeBugCheckEx然后使用隐藏进程的那个最后 大概2个小时就蓝屏了。
后面我就在网上搜 说还有个KeBugCheck2现在去看看效果去。

希望不要蓝了{:soso_e154:}

qwert502 发表于 2012-3-15 16:32:17

看看学习一下。。。谢谢老大提供。。。

xmlpull 发表于 2012-3-21 04:33:55

{:soso_e136:} 难道SSDT hook.通过这个来防止蓝屏。

Tesla.Angela 发表于 2012-3-21 18:47:44

xmlpull 发表于 2012-3-21 04:33 static/image/common/back.gif
难道SSDT hook.通过这个来防止蓝屏。

不是

iloveqqp 发表于 2012-3-27 12:00:24

看下囉

魂牵梦萦 发表于 2012-4-3 21:29:22

在测试前,请看此帖:http://www.vbasm.com/thread-5893-1-1.html

evilycool 发表于 2012-4-30 02:04:47

看看代码

watchsky 发表于 2012-5-18 15:41:25

看看见没见过

watchsky 发表于 2012-5-18 15:44:52

好淫当,KeWaitForSingleObject(Sytem_EPROCESS,0,0,0)替换KeBugChekEx!话说xor rbx, rbx;mov , rbx有什么用?

watchsky 发表于 2012-5-18 16:39:19

哦,基础太差了,原来KeWaitForSingleObject是5个参数!

xxy19804 发表于 2012-5-20 21:24:31

研究一下,思路很新

9298 发表于 2012-5-20 21:57:54


看一下,啥东西!{:soso_e132:}

tsutair 发表于 2012-5-22 17:14:37

Thanks you!!!

watchsky 发表于 2012-5-24 19:58:08

点击关机按钮后,无法创建进程,并且劫持关机程序无法劫持关机消息,连调用zwshutdownsystem的机会都不给,求解答

yipihaoma 发表于 2012-9-10 20:45:29

学习学习

ghost2002910 发表于 2012-10-3 15:30:56

看下呢

a33287651 发表于 2012-11-5 13:14:01

页: [1] 2 3
查看完整版本: [原创开源]在WIN64上反蓝屏(效果较好)