突破xiaoly99的Process Guard 7.5

Tesla.Angela · 发表于 2010-9-4 16:55:55

本帖最后由 Tesla.Angela 于 2010-9-4 17:00 编辑

xiaoly99毕竟年轻，考虑事情不周到啊。

用线程消息洪水攻击即可。

Dim I As Long
For I = 0 To 100
Call PostThreadMessage(线程ID, I, 0, 0)
Next

Tesla.Angela · 发表于 2010-9-4 16:56:58

解决方案是Hook PsLookupThreadByThreadId。

xiaoly99 · 发表于 2010-9-4 18:14:25

并不是不周到.
Process Guard 8仅仅Hook了三个函数:
ObReferenceObjectByHandle
ObReferenceObjectByPointer
ObReferenceObjectSafe
你觉得这个如何?

显示全部楼层 · 发表于 2010-9-4 19:52:45

提示: 作者被禁止或删除内容自动屏蔽

ok100fen · 发表于 2010-9-4 20:47:22

xiaoly99毕竟年轻，考虑事情不周到啊。
用线程消息洪水攻击即可。
Tesla.Angela 发表于 2010-9-4 16:55

原理是不是向这个线程发送消息
发多了，这个线程就崩溃了
就像ddos网站的原理一样？

还有线程id是怎么得到的？

ok100fen · 发表于 2010-9-4 20:48:51

还有
Hook PsLookupThreadByThreadId这个之后，是不是就不能用PostThreadMessage这个函数了？

a33287651 · 发表于 2010-9-4 22:09:39

提示: 作者被禁止或删除内容自动屏蔽

Tesla.Angela · 发表于 2010-9-5 01:01:24

回复 5# ok100fen

差不多吧。。。
线程ID用XT得到

Tesla.Angela · 发表于 2010-9-5 01:14:56

本帖最后由 Tesla.Angela 于 2010-9-5 01:18 编辑

回复 3# xiaoly99

ObReferenceObjectSafe是什么来的？
如果是我，我只挂钩KiFastCallEntry。处理：
NtOpenProcess
NtOpenThread
NtDuplicateObject
NtUserPostThreadMessage
外加：
随机窗口名
随机类名
随机控件名
（让你找不到攻击的依据，前提是你不知道进程ID）

ok100fen · 发表于 2010-9-5 09:06:48

回复 ok100fen

差不多吧。。。
线程ID用XT得到
Tesla.Angela 发表于 2010-9-5 01:01

在XT的哪个选项？
我怎么没找到？

xiaoly99 · 发表于 2010-9-5 09:25:41

ObReferenceObjectByHandle - NtTerminateProcess(Thread)
ObReferenceObjectByPointer - ObOpenObjectByPointer
ObReferenceObjectSafe - PsLookupProcess(Thread)ByProcess(Thread)Id
其中第三个在Xp上还能造成进程隐藏的效果.
PS:搞什么搞,我说的是在PspExitProcess或ObKillProcess里搞死循环,然后进程就"结束不掉"了.真是的,个人观点只能是个人观点.还有,硬编码"找茬"毕竟只能给系统找茬,在Xp上的多核和双核内核文件还有些函数头不一样呢.还是从导出函数找好,不过像微点这种**的,居然在PsTerminateSystemThread做CallHook,不过这样就好玩了,我们也可以拦截微点的处理函数......

Tesla.Angela · 发表于 2010-9-5 12:01:00

回复 10# ok100fen

进程 => 查看线程

Xor · 发表于 2011-8-16 18:51:48

xiaoly99 发表于 2010-9-4 18:14
并不是不周到.
Process Guard 8仅仅Hook了三个函数:
ObReferenceObjectByHandle

是http://vbasm.com/thread-4257-1-1.html么？不是kiiinserqueueapc吗

xiaoly99 · 发表于 2011-8-17 03:52:24

Xor 发表于 2011-8-16 18:51
是http://vbasm.com/thread-4257-1-1.html么？不是kiiinserqueueapc吗

首先, 如果一定要搞 Ob 系的函数, 那三个函数只是在 Xp 上有很大的作用, 在 NT6 的系统上作用就不是太明显了.
其次, 我也好久都没搞内核了...... ProcessGuard 所有版本和以前的一些废品一起删掉了......
如果要做产品级的, 还是遵循 TA 的吧, Hook KiFastCallEntry, 这算是在 User-Mode 最保险的手段了.
我做做的话, 就 Hook 你说过的那个 KiDe****Apc 就行了, 如果是自己程序的线程, 就在调用 Apc 之前把 Apc 的 Dispatch Function 全部换成预先准备好的空函数...... 这样效果挺好, 再加上轮询 Hook = =

Tesla.Angela · 发表于 2011-8-17 13:07:03

Xor 发表于 2011-8-16 18:51
是http://vbasm.com/thread-4257-1-1.html么？不是kiiinserqueueapc吗

关于进程的知识我也不太记得了。。。
听小力说吧。。。

账号		自动登录	找回密码
密码			加入我们

本网站最菜的人该用户已被删除	发表于 2010-9-4 19:52:45 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
本网站最菜的人该用户已被删除
	回复举报