(更新)Ring3成功结束倒霉蛋的MINISafe.(同时呼唤Ta. 有问题请教)

xiaoly99

lkd> ?ntdll!NtOpenProcess
Evaluate expression: 2089997822 = 7c92d5fe
lkd> ?ntdll!ZwOpenProcess
Evaluate expression: 2089997822 = 7c92d5fe
地址完全一样,参数也完全一样,调用方法也完全一样.

xiaoly99

TA快现身吧.如果TA都看不出其中奥妙,我就撞死在墙上算了.

xiaoly99

1.a33287651,你的QQ是多少,QQ上聊方便点.2.TA神牛不是随叫随到的,而我是24小时在线,所以你问Ta神牛问题可能要比问我问题要困难.
3.好寂寞,我发一个帖子要好久才有人回复.
4.我是不是时间太多了?
5.虽然倒霉鸡蛋在Ring3Hook的方式很正规,但是,ByPass它的方法有很多.这些方法几乎都是WS技巧.
5.1.WS技巧是防不住的.
5.2.a33287651,WS技巧看书是看不来的.
5.3.如果我在内核Hook KeTerminateThread,如果是我的线程就死循环(0xfeeb).设置进程结束了就算你赢,窗体关闭不算.请问你在不恢复Hook的基础上你能赢吗?
5.3.1.对于高手都很难了,对于a33287651就更难了.
6.层次结构好好玩.
总结:a33287651QQ多少?WS技巧只能摸索出,看书看不出.

xiaoly99

PS:在QQ上我把源代码给你.其实原理很简单.

xiaoly99

PSP:如果你见过这种传参数的方式我就叫你师傅.但不是这种方式让我绕过Hook的.这份代码是可以用的.挺方便.
上代码~

1. Public Declare Function NtOpenProcess Lib "ntdll" (ByVal pProcessHandle As Long, ByVal dwDesiredAccess As Long, ByVal pObjectAttributes As Long, ByVal pClientId As Long) As Long
   
2. Public Function RaProcessOpen(ByVal dwProcessId As Long)
   
3.     Dim dwParameter(7) As Long
   
4.     dwParameter(0) = 24
   
5.     dwParameter(6) = dwProcessId
   
6.     ZwOpenProcess VarPtr(RaProcessOpen), 2035711, VarPtr(dwParameter(0)), VarPtr(dwParameter(6))
   
7. End Function

复制代码

xiaoly99

我改名了,Xiaoly99,Xiaoly,XiaoLy,小利,小力都不是我.Bound才是我.

倒霉蛋儿

回复 12# xiaoly99


    不攻击窗口的话。。。你的程序能结束我的保护
原因还是因为zwopenprocess过滤不够严密
或者。。。。你把hook恢复了。。。。或者像ta那样带方法重新加载
或者从csrss里面弄到我的句柄。。。。。
除此之外 我实在想不到你怎么能结束我的进程了。。。。。

xiaoly99

回复 44# 倒霉蛋儿
1.我并没有攻击窗口.
2.我ZwOpenProcess传来参数和别人ZwOpenProcess是一样的,连倒霉鸡蛋都不懂.
3.ntdll.rms = ntdll.dll
4.我使用的是ntdll.rms!ZwOpenProcess,它Hook的是ntdll.dll!ZwOpenProcess.
5.就是替换DLL,跟TA一样.仅仅是换了个形式而已,还真的骗了这么多人.

oopww

求minisafe源码··一探究竟

hx1997

DebugActiveProcess
WinStationTerminateProcess
taskkill
我这里都能terminate掉minisafe...