[半原创]另类内存清零 - HwlPVASE

HoviDelphic

貌似有不少人关注我的“另类内存清零”，其实原理很简单：
获得待结束进程的EPROCESS->获取EPROCESS+0x18的值（页目录值）->将页目录的值放到cr3中->内存清零->恢复cr3的值。
实现的代码：

1. 
   
2. NTSTATUS HwlPVASE( PEPROCESS ptrEProcess )
   
3. {
   
4.     ULONG ulPDT=0,ulOldCr3=0,vAddr=0;
   
5.     HANDLE hProcess=0;
   
6.     NTSTATUS st;
   
7.     //HdAttachProces
   
8.     if ( NT_SUCCESS(MmIsAddressValid((PVOID)((ULONG)ptrEProcess+0x18))) )
   
9.     {
   
10.         ulPDT=*(PULONG)((ULONG)ptrEProcess+0x18);
    
11.     }
    
12.     else
    
13.     {
    
14.         return STATUS_UNSUCCESSFUL;
    
15.     }
    
16.     _asm cli;
    
17.     _asm
    
18.     {
    
19.         mov eax, cr3;
    
20.         mov ulOldCr3, eax;
    
21.         mov eax, ulPDT;
    
22.         mov cr3, eax;
    
23.         sti;
    
24.     }
    
25.     //P.V.A.S.E
    
26.     for(vAddr=0;vAddr<=0x2000000;vAddr+=0x1000)
    
27.     {  
    
28.         if(MmIsAddressValid((PVOID)vAddr))
    
29.         {
    
30.             _try
    
31.             {
    
32.                 ProbeForWrite((PVOID)vAddr,PAGE_SIZE,PAGE_SIZE);
    
33.                 memset((PVOID)vAddr,0xCC,PAGE_SIZE);
    
34.             }
    
35.             _except(1)
    
36.             {
    
37.                 continue;
    
38.             }
    
39.         }
    
40.     }
    
41.     //HdDetachProces
    
42.     _asm
    
43.     {
    
44.         cli;
    
45.         mov eax, ulOldCr3;
    
46.         mov cr3, eax;
    
47.     }
    
48.     _asm sti;
    
49.     //Test Kill
    
50.     st=ObOpenObjectByPointer(ptrEProcess,0,0,0,0,0,&hProcess) ;
    
51.     if NT_SUCCESS(st)
    
52.     {
    
53.         ZwTerminateProcess(hProcess,0);
    
54.         ZwClose(hProcess);
    
55.     }
    
56.     return STATUS_SUCCESS;
    
57. }
    

复制代码

此代码在Windows XP和Windows 7中测试通过，可以秒杀KV2010（不过要稍微修改一下代码）。

oopww

话说前段时间  论坛怎么进不了！！！

xiaoly99

MmIsAddressValid 呵呵

马大哈

话说前段时间  论坛怎么进不了！！！
oopww 发表于 2010-3-27 15:06

同服务器有个站点有不和谐内容,然后整个服务器都被封了80端口......

伟大的D比起以前要好得多了,至少这次没有直接搬服务器.....

同时谢谢关注

Tesla.Angela

回复 4# 马大哈


    那你怎么不更换服务器？

xiaoly99

if ( NT_SUCCESS(MmIsAddressValid((PVOID)((ULONG)ptrEProcess+0x18))) )这里用Hook MmIsAddressVaild就防住了
拦截这种东西只能Hook RtlCopyMemory但是判断PsGetCurrentProcess怎们判断呢?
在IOCTL中必须要在本进程中RtlCopyMemory啊 这样怎么办呢?

马大哈

回复  马大哈


    那你怎么不更换服务器？
Tesla.Angela 发表于 2010-3-27 19:58

    这与换不换服务器有关,与运气有关....

只是运气不好,同服务器有别的站有不和谐内容而已....

我都在怀疑是不是最近RP降低的原因-_-b

HoviDelphic

用这个东西来杀进程真是太不值得了，用来搞个Read/WriteProcMem才能真正发挥出它的价值。

oopww

最近打开网站好慢啊！？？！？！！

everyone

最近打开网站好慢啊！？？！？！！
oopww 发表于 2010-4-6 14:59

    Ping了一下,IP是61.158.138.152,网通的啊?电信访问肯定会慢的.

hotnetbar

用來讀寫內存好點

马大哈

回复 everyone 的帖子

这个主机是双线主机,应该会自动切换IP的才对啊......我用了智能DNS的...

chenmo不行

话说楼主很猥琐，喜欢这类变态的方式，原来楼主就是黑防上顶顶大名的胡文亮啊，崇拜崇拜，努力学好技术，希望也能在黑防上发表文章

Tesla.Angela

chenmo不行 发表于 2012-4-27 23:40
话说楼主很猥琐，喜欢这类变态的方式，原来楼主就是黑防上顶顶大名的胡文亮啊，崇拜崇拜，努力学好技术，希 ...

HoviDelphic是胡文亮以前的网名，现在的网名是Tesla.Angela。