(更新)Ring3成功结束倒霉蛋的MINISafe.(同时呼唤Ta. 有问题请教)

马大哈

MiniSafe是一款基于主动防御技术开发的安全软件，主要有以下几个功能。

1、阻止程序远程线程注入的恶意行为。虽然不少杀毒厂商的杀软也在防远程线程的功能，但是他们的方法还不彻底，很容易被绕过，而MiniSafe使用了更为先进的判定技术，很难被绕过。

2、阻止远程钩子的加载。远程钩子是木马程序窃取密码的主要手段，防住它，就防住了木马的主大门。

3、拦截了驱动加载。现在已经有越来越多的病毒木马使用了RootKit技术，拦截驱动加载十分有必要，而不少杀软要么没拦截，要么拦截了默认不开启，这是非常危险的。

4、拦截了利用物理内存对象、ZwSetSytemInformation、ZwSystemDebugControl等Dirty方法非法进入Ring0的RootKit。

5、拦截了U盘插入后所有的进程创建，防止病毒通过U盘autorun自动传播。

6、能够预防内存清零结束进程、映像劫持过Hips（指新建一个受Hips信任的进程，再修改其内存偷梁换柱，不是指那个修改注册表的）等流行病毒技术。

7、对注册表关键部分进行了保护，预防病毒通过注册表自动运行。

8、拦截了PhysicalDriver对象的使用，可以使机器狗病毒失效并能预防病毒通过使用该对象破坏硬盘。

9、还有其它一些小功能，如禁止autorun.inf文件创建，系统时间修改提示等，都尽可能地为用户保安全。

10、可以对exe文件写保护，但由于太多程序会对exe文件进行写操作，所以默认值是关闭的，当你想运行一个程序但又怕它感染你硬盘上的文件的话，那么这个功能就可以大派用场了。

//

原来是一款安全软件.

大家就是在这样子较量着啊.......

马大哈

确实木有......原来是这个........

不过刚刚傻了,用了陈辉的天琊去结束,结果一下子就结束了,正奇怪的时候,发现窗口中写着"Try Kill Me By User Mode"......我那个汗- -!............

ok100fen

用什么软件查出了hook了这么多API?


"Hook了以下api(全局)
NtOpenProcess

NtOpenThread

NtDuplicateObject


CloseWindow

DestroyWindow

EnableWindow

MoveWindow

SetParent

ShowWindow

ShowWindowAsync

EndTask


PostMessageA

PostMessageW


SendMessageA

SendMessageW


SendMessageCallbackA

SendMessageCallbackW


PostThreadMessageA

PostThreadMessageW


SetWindowLongA

SetWindowLongW

模拟ESC


"

马大哈

我这里好象结束不了.

环境:

虚拟机中WIN2003,全裸.

实机WIN2003,装瑞星+360,均未开.

ok100fen

倒霉蛋的那个源码在哪？
怎么没找到?

xiaoly99

1.我的Windows所有系统通吃
2.我也做了一个
3.我做的没有恢复那些Hook
4.我做的仅仅有29行(包括声明和提权代码)
5.我做的其实原理很简单
6.好像原来MINISafe有源码的,现在没有了
7.我不喜欢用PB做DLL,或者说我不喜欢一个EXE带着一个DLL
8.我喜欢一个EXE带着一个SYS
9.原EXE20480字节,压缩包(WinRar固实最好压缩)只有3127字节.
10.我的只需点一次
11.要源代码的PM我

xiaoly99

回复 17# a33287651
请问您是不是没有常识啊?NtOpenProcess和ZwOpenProcess在Ring3的ntdll都是一样的.
Zw系和Nt系的函数在Ring3都是一样的.
你根本就没有说到我的核心原理.
提权可以不要.
用的Api就是Hook的,只是模块不同.
根本就不是开源.
不信你试试,可以吗?
不行.

xiaoly99

当初真应该声明Nt系的函数,居然被......
其实函数地址都是一样的,你用GetProcAddress看看.
NtOpenProcess = ZwOpenProcess(In Ring3)

Tesla.Angela

回复 28# a33287651


看什么书？
看看《Windows核心编程》也不错。

马大哈

回复 22# a33287651

不能发帖就要看看是不是你那里浏览器的设置问题了.....

我这里是OK的,找另几个朋友测试也是OK,权限与你相同.

你清空一下COOKIES与临时文件后再试试看?

xiaoly99

1.驴子的这些东西都是DKOM进Ring0的.
2.是XpSp3某个补丁使DKOM失效的.3.DKOM在Server2003和XpSp3以前都有效.
4.我调用函数的方式一样.
5.我调用函数的参数也一样.
6.Zw系的函数永远都是Nt系的函数(在Ring3下).
7.怎么连这点手脚都看不出呢?
8.告诉你原理恐怕你也不会.
9.我在函数上没有做手脚.
10.做手脚的地方明眼人一看就知道,就在你的帖子里.

xiaoly99

给个提示:它Hook的是ntdll.dll!NtOpenProcess(ZwOpenProcess).明眼人和有常识的应该看出来了吧.