Easily Bypass TaKillMe

a33287651 · 发表于 2010-9-12 08:13:52

提示: 作者被禁止或删除内容自动屏蔽

a33287651 · 发表于 2010-9-12 08:35:09

提示: 作者被禁止或删除内容自动屏蔽

Tesla.Angela · 发表于 2010-9-12 09:52:41

汗。。。
我的意思是说，我采用了随机窗口名和随机类名，你有什么证据说那是我的窗口。。。

Tesla.Angela · 发表于 2010-9-12 10:16:27

另外你说关于找未导出函数的，不也很简单嘛。。。
举个例子

nt!KeInsertQueueApc+0x3b:
804fd4c5 8b450c       mov    eax,dword ptr [ebp+0Ch]
804fd4c8 8b5514       mov    edx,dword ptr [ebp+14h]
804fd4cb 894724       mov    dword ptr [edi+24h],eax
804fd4ce 8b4510       mov    eax,dword ptr [ebp+10h]
804fd4d1 8bcf          mov    ecx,edi
804fd4d3 894728       mov    dword ptr [edi+28h],eax
804fd4d6 e8dd340000    call nt!KiInsertQueueApc (805009b8)
804fd4db 8ad8          mov    bl,al

地址是804fd4d6
指令是e8dd340000
那么你在VB里输入这段代码：

Print Hex$(&H804FD4D6 + &H34DD + 5)

看看结果是不是805009b8。

Tesla.Angela · 发表于 2010-9-12 10:20:06

e8就是call
这个不解释
你知道34dd是这么来的吗？
因为：e8dd340000
所以反过来写&H000034dd
VB会自动吃掉前面的四个零

Tesla.Angela · 发表于 2010-9-12 10:22:34

对比了XP、2K3、VISTA、WIN7四个系统，发现每个系统的KeInsertQueueApc都有这两句：

804fd4d3 894728 mov dword ptr [edi+28h],eax
804fd4d6 e8dd340000 call nt!KiInsertQueueApc (805009b8)

所以我说定位KiInsertQueueApc的特征码是28 e8

a33287651 · 发表于 2010-9-12 13:30:41

提示: 作者被禁止或删除内容自动屏蔽

a33287651 · 发表于 2010-9-12 13:35:38

提示: 作者被禁止或删除内容自动屏蔽

Tesla.Angela · 发表于 2010-9-12 15:38:00

回复 7# a33287651

人肉判断。。。:L

kk1025 · 发表于 2013-4-10 18:05:12

飄過!

jzy1115 · 发表于 2013-8-31 19:18:40

Tesla.Angela 发表于 2010-9-12 10:22
对比了XP、2K3、VISTA、WIN7四个系统，发现每个系统的KeInsertQueueApc都有这两句：

所以我说定位KiInsert ...

太短了吧，不怕定位错了？

账号		自动登录	找回密码
密码			加入我们