vb进程保护

a33287651 · 发表于 2010-8-12 13:51:32

提示: 作者被禁止或删除内容自动屏蔽

Tesla.Angela · 发表于 2010-8-12 15:17:29

首先说明，这里没有HD了，只有TA了，HD是一个过时的名字。
给代码是没问题的，我开学前会给大家一点礼物的。
进程防结束？论坛里有不少吧，你找找吧。

Tesla.Angela · 发表于 2010-8-12 15:26:08

本帖最后由 Tesla.Angela 于 2010-8-12 22:55 编辑

HD的忠实支持者  嘻嘻
我最近看了看,ChenHui,倒霉蛋等人做的进程保护真的不错
无dll(或vb dll),无驱动,有的还是纯vb,全局hook

哈哈,召唤下hd
写点伟大的代码出来吧,
其实炉子远不如你(作为老师的角度来讲 _
炉子只会扔一段ASM _
)

我做了个进程保护(其实不能防结束,结束就会蓝屏,窘,
没有技术含量,
呼唤.....

HD写个进程防结束src给我们吧~
a33287651 发表于 2010-8-12 13:51

另外不要拿我和炉子比较，我不相识他，他对别人怎么样我不关心，我也不想知道。大路朝天，各走一边就是了。
我不希望有人通过贬低炉子来抬高我，也不在乎别人通过贬低我来抬高炉子。
总而言之，TA和炉子是两个完全没有关联与可比性的人。

a33287651 · 发表于 2010-8-12 17:06:43

提示: 作者被禁止或删除内容自动屏蔽

ok100fen · 发表于 2010-8-12 17:07:04

成熟了

a33287651 · 发表于 2010-8-12 17:17:39

提示: 作者被禁止或删除内容自动屏蔽

Tesla.Angela · 发表于 2010-8-12 19:06:56

本帖最后由 Tesla.Angela 于 2010-8-12 19:10 编辑

谢了.
以后我不会乱加评价.

By the way,我以后要好好学习,争取做一个出色的 _
a33287651 发表于 2010-8-12 17:06

这就对了，大家上网都是为了学习交流，又不是打仗，没什么好比较的。
评价就更加不必要了，又不是自己家里人或者杰出人物，评价作甚，由他去吧。

Tesla.Angela · 发表于 2010-8-12 19:08:27

本帖最后由 Tesla.Angela 于 2010-8-12 19:11 编辑

回复 5# ok100fen

蒙承OK大哥夸奖。。。
是啊，想起自己在09年的所作所为，现在也觉得很搞啊，呵呵。

ok100fen · 发表于 2010-8-12 20:41:56

你的那首诗，能代表你的一个时期
但是看不到那首诗后，我很pf你了
其实老马的境界就很高了
特别是我发现他那个僵尸账号，这个人不一般

xiaoly99 · 发表于 2010-8-12 20:57:59

回复 6# a33287651
还能Hook KiUnwaitThread实现进程防杀,准确的说是线程防杀.
其实Hook KiUnwaitThread的ByPass办法(针对Dew系列产品)是Hook RtlGetCallerAddress/Hook KeGetCurrentIrql/Hook IoGetThreadsProcess.
Hook KiUnwaitThread可以说比KeFocusResumeThread和KiInsertQueueApc底层,和InsertHeadList同级.
-----我是杯具的分割线-----
实现方法:

PEPROCESS DewProcess;
VOID FASTCALL KiUnwaitThreadCallBack (PRKTHREAD Thread,LONG_PTR WaitStatus,KPRIORITY Increment)
{
PVOID pKiInsertQueueApc;
PVOID pKeInsertQueueApc;
RtlGetCallersAddress(pKeInsertQueueApc,pKiInsertQueueApc);
if ((pKeInsertQueueApc == KeInsertQueueApc) && (IoGetThreadsProcess(Thread) == DewProcess))
{
DewReWriteApcList(Thread);
}
else
{
KiUnwaitThreadRawProc(Thread,WaitStatus,Increment);
}
}

复制代码

Tesla.Angela · 发表于 2010-8-12 21:42:40

本帖最后由 Tesla.Angela 于 2010-8-12 22:24 编辑

回复 9# ok100fen

哪首诗？“云在青天水在瓶”这首？
另外我也是从游客账号中看出老马不是普通人，是那种胸怀特别开阔的人。上次看到有人在论坛骂老马，老马也不计较，一笑而过，更加证明了他开阔的胸襟（现在很多人别人无意中得罪了他或和他有过过节，就蹦起来骂别人十句了，而且还用那些特别下流、恶心、龌鹺的词）。
大家要向老马学习啊。

Tesla.Angela · 发表于 2010-8-12 21:45:11

回复 10# xiaoly99

简单说一下dew系列产品是什么？

xiaoly99 · 发表于 2010-8-13 09:26:22

为liangguochang正在开发的小孩全功能安全软件提供内核
1.Hook MmCreateSection,拦截DLL/EXE/SYS加载
2.Hook KiUnwaitThread,防线程结束
3.Hook PspExitProcess,防进程结束(Call PspExitProcess时进程所有的线程已经被结束.只能死循环,创造一个表面意义上的进程)
其中第3点就是专门防TaPvase那样通过CR3修改来搞进程的,第3点对于那个"Zzzianes"的VirtualProtect的也有效.(理论上)
第2点可以拦截所有APC插入,因为你插了Apc肯定要调用KeFocusResumeThread来唤醒线程,那就肯定会调用KiUnwaitThread.
其实KiUnwaitThread处理不慎很容易蓝屏的,因为这个函数和线程调度有关,运行在很高的IRQL上.

a33287651 · 发表于 2010-8-13 09:56:34

提示: 作者被禁止或删除内容自动屏蔽

Tesla.Angela · 发表于 2010-8-13 10:49:20

为liangguochang正在开发的小孩全功能安全软件提供内核
1.Hook MmCreateSection,拦截DLL/EXE/SYS加载
2.H ...
xiaoly99 发表于 2010-8-13 09:26

除了第一点之外，第二第三点我都不认同。

Tesla.Angela · 发表于 2010-8-13 10:50:49

回复 14# a33287651

你可以看看《黑客防线》，上面有很多讲HOOK的文章。

Tesla.Angela · 发表于 2010-8-13 10:52:43

进程保护的代码不是在这里吗？
http://www.m5home.com/bbs/thread-3613-1-1.html

Tesla.Angela · 发表于 2010-8-13 10:54:43

本帖最后由 Tesla.Angela 于 2010-8-13 10:59 编辑

回复 13# xiaoly99

希望你能明白，进程防杀到了Ring0都是没有意义的。做好Ring3的防杀工作就行了。且不说Shadow SSDT上的函数，我只HOOK以下函数：
1.PsLookupThreadByThreadId
2.ObReferenceObjectByHandle
如果要做到完整防杀，Shadow SSDT上的函数起码要钩30个。
另外最重要的不是SetXXX函数，而是GetXXX函数（使用欺骗手段）。

xiaoly99 · 发表于 2010-8-13 11:16:31

您以前Hook KeInsertQueueApc,KiInsertQueueApc,PspTerminateThreadByPointer也是没意义的(你可能这样认为,我不是)
请问IceLight Hook KeInsertQueueApc+0x3b也是没意义的吗?
我觉得您Tesla.Angela神牛这样认为的基础恐怕是杀毒软件们大多数Hook SSDT,Hook KiFastCallEntry吧.
那照您的说法,请问是不是驱动进了Ring0.我Hook MmCreateSectin拦截就没用了.所有杀毒软件的防护都没用了.
那照您的说法,Hook KiUnwaitThread无法拦截Ring3插Apc对吗?
那照您的说法,进程结束回调+0xfeeb不能使进程结束不了吗(失去响应的进程)?
-------这是杯具的分割线-------
我认为以上6点统统是不对的,您可能认为是对的.
-------本次辩解结束-------

xiaoly99 · 发表于 2010-8-13 11:17:58

以上言论仅仅在2010年8月13日11点17分有效,过了该言论的作用域后,本人对该言论均不负责.

xiaoly99 · 发表于 2010-8-13 11:25:34

我还想说一句:做程序毕竟还是自己做,不是别人做.别人对你做好的功能不同意,难道你就要把它删除吗?显然不可能.

Tesla.Angela · 发表于 2010-8-13 11:27:25

您以前Hook KeInsertQueueApc,KiInsertQueueApc,PspTerminateThreadByPointer也是没意义的(你可能这样认为,我不是)
请问IceLight Hook KeInsertQueueApc+0x3b也是没意义的吗?
我觉得您Tesla.Angela神牛这样认为的基础恐怕是杀毒软件们大多数Hook SSDT,Hook KiFastCallEntry吧.
那照您的说法,请问是不是驱动进了Ring0.我Hook MmCreateSectin拦截就没用了.所有杀毒软件的防护都没用了.
那照您的说法,Hook KiUnwaitThread无法拦截Ring3插Apc对吗?
那照您的说法,进程结束回调+0xfeeb不能使进程结束不了吗(失去响应的进程)?
xiaoly99 发表于 2010-8-13 11:16

Hook Ke(i)之类的东西在产品上确实没有意义，只能拿到论坛上娱乐。
顺便请教下，[进程结束回调+0xfeeb]是什么来的？

xiaoly99 · 发表于 2010-8-13 11:29:31

我想问Tesla.Angela神牛一句:OBORH和PLTBTI也是内核函数,有些驱动也要调用它们.那么,请问它们不是Ring0的吗?难道它们是Ring3的函数吗?显然不可能.

Tesla.Angela · 发表于 2010-8-13 11:30:48

本帖最后由 Tesla.Angela 于 2010-8-13 11:35 编辑

我还想说一句:做程序毕竟还是自己做,不是别人做.别人对你做好的功能不同意,难道你就要把它删除吗?显然不可能 ...
xiaoly99 发表于 2010-8-13 11:25

兄弟误解了，我只是说说我的看法，并没有要你怎么做（注意：认同和认可的区别）。
如果您认为我的话刺耳，我把我的帖子删除就行。

a33287651 · 发表于 2010-8-13 13:16:49

提示: 作者被禁止或删除内容自动屏蔽

a33287651 · 发表于 2010-8-13 13:26:01

提示: 作者被禁止或删除内容自动屏蔽

a33287651 · 发表于 2010-8-13 13:33:23

提示: 作者被禁止或删除内容自动屏蔽

a33287651 · 发表于 2010-8-13 13:42:10

提示: 作者被禁止或删除内容自动屏蔽

Tesla.Angela · 发表于 2010-8-13 18:11:24

回复 28# a33287651

窗体攻击360很简单，得到窗体后把它的窗体涂黑即可。

Tesla.Angela · 发表于 2010-8-13 18:15:11

回复 25# a33287651

书籍：《深入解析Windows操作系统5th》

Tesla.Angela · 发表于 2010-8-13 18:16:18

回复 26# a33287651

1.要了解HOOK，你必须学一下汇编语言。
2.谁都可以卸载别人的驱动，XueTr有提供这样的功能。

Tesla.Angela · 发表于 2010-8-13 18:18:37

回复 26# a33287651

QQ已经加了你，不过我一般不上QQ，有什么问题到论坛上问吧。

账号		自动登录	找回密码
密码			加入我们