学习下,,TA的大作
谢谢分享
?????????????????????????
特来学习一下,谢谢楼主
我也来看看
我也来看看!
这个可是好东西,谢谢分享
好像教程里有这个内容
。。。。大学的时候是什么时候。。老大是85后?
好东西学习,值得拥有
五一快乐!
看看老贴
感谢楼主
必须支持大侠们分享精神
看了几个帖子,虽然在干嘛不大清楚,但是感觉很有武林高手范儿。我能理解为小Cracker破software,大Cracker搞Win-System么?
老大的帖子, 现在看到了 学习ing。。。
大神就是厉害
早就想看源码了
谢谢了!一直找的。支持开源精神。谢谢大牛。
谢谢分享
发现来了紫水晶 进步好快。。。
谢谢,正需要
来看看源码的,好像这个ob方法在win8x64上运行,用任务管理器可以关闭进程
楼主看来是一个好销售员啊~~
谢谢分享……
调试跑了一下,好像win7x86/win8.1x86 ObRegisterCallbacks函数都返回失败?你们试了没有吗?
想问下,Vista之前的系统有什么方法保护进程呢?SSDT-hook(要找每个系统的函数ssdt的id)? 提升进程的线程为系统线程?(要找每个系统的Etread的xx偏移)? 不知道还有哪种方法
最简单的办法就是挂钩PsLookupProcessByProcessId和PsLookupThreadByThreadId以及NtDuplicateObject还有KeInsertQueueApc。这四个都是导出函数,挂钩后Ring3就没有什么办法杀进程了。当然咯还有在Windows XP里要废掉NtSystemDebugControl这玩意。有很多在XP下Ring3强杀进程的东西会使用这个函数。挂钩好这些函数,一些Ring0的杀进程代码也会变得无效。直接Inline Hook就行了,虽然有概率蓝屏。
284406022 发表于 2016-6-22 08:50
调试跑了一下,好像win7x86/win8.1x86 ObRegisterCallbacks函数都返回失败?你们试了没有吗?
想问下,Vista之 ...
最简单的办法就是挂钩PsLookupProcessByProcessId和PsLookupThreadByThreadId以及NtDuplicateObject还有KeInsertQueueApc。这四个都是导出函数,挂钩后Ring3就没有什么办法杀进程了。当然咯还有在Windows XP里要废掉NtSystemDebugControl这玩意。有很多在XP下Ring3强杀进程的东西会使用这个函数。挂钩好这些函数,一些Ring0的杀进程代码也会变得无效。直接Inline Hook就行了,虽然有概率蓝屏。
本帖最后由 284406022 于 2016-6-22 23:00 编辑
tangptr@126.com 发表于 2016-6-22 21:30
最简单的办法就是挂钩PsLookupProcessByProcessId和PsLookupThreadByThreadId以及NtDuplicateObject还有K ...
我也是很讨厌ssdt-hook 或者inline-hook的,我找了一个思路:就是把进程的线程提示为系统进程,不过这个要对Eprocess->EThread操作,,这两个结构体又是经常变来变去的,还是比较麻烦的,vista之前的系统也分x86和x64的,像你说的inline-hook,总感觉不够稳定(特别是x64的inline-hook,不知道用管理员教程里的inline-hook稳不稳定?)
tangptr@126.com 发表于 2016-6-22 21:30
最简单的办法就是挂钩PsLookupProcessByProcessId和PsLookupThreadByThreadId以及NtDuplicateObject还有K ...
win7x86,win8.1x86,win10x86下的ObXXXXXXcallback失败原因找到了,原来是一个结构体偏移错了,不是+0x68了,而是+0x34了
284406022 发表于 2016-6-22 23:03
win7x86,win8.1x86,win10x86下的ObXXXXXXcallback失败原因找到了,原来是一个结构体偏移错了,不是+0x68了, ...
然而XP和2k3没有回调保护进程
话说hook的话如果不嫌麻烦可以call hook,蓝屏率是很低的。
学习下,看看