关于叁60的窗体防护

Xor · 发表于 2011-8-17 17:55:04

叁60的窗体防护很奇怪，Xuetr关不掉，也无法隐藏。难道hook了什么函数？

Tesla.Angela · 发表于 2011-8-17 19:01:15

XT有关闭窗口的功能？
另外你说360还能怎么保护呢，还不是inline hook KiFastCallEntry。

Xor · 发表于 2011-8-17 20:13:05

Tesla.Angela 发表于 2011-8-17 19:01
XT有关闭窗口的功能？
另外你说360还能怎么保护呢，还不是inline hook KiFastCallEntry。

这就是奇怪之处了。按说xuetr关窗体应该用了很底层的函数，不会走 KiFastCallEntry。我们的shadow ssdt hook都完全防不住xuetr，何况360的KiFastCallEntry？

Xor · 发表于 2011-8-17 20:15:59

难道是处理了句柄？（Ps：某人说是某神秘回调，没细说...）

Tesla.Angela · 发表于 2011-8-17 21:20:15

Xor 发表于 2011-8-17 20:15
难道是处理了句柄？（Ps：某人说是某神秘回调，没细说...）

这就不知道了。。。
你去找找我以前写的shadow ssdt inline hook的代码试试，看看能不能防止xt关窗口。。。

Xor · 发表于 2011-8-17 21:22:36

Tesla.Angela 发表于 2011-8-17 21:20
这就不知道了。。。
你去找找我以前写的shadow ssdt inline hook的代码试试，看看能不能防止xt关窗口。。 ...

谢谢啦！

Xor · 发表于 2011-8-17 21:29:20

本帖最后由 Xor 于 2011-8-17 21:32 编辑

Tesla.Angela 发表于 2011-8-17 21:20
这就不知道了。。。
你去找找我以前写的shadow ssdt inline hook的代码试试，看看能不能防止xt关窗口。。 ...

看来是我错了，xuetr关闭窗体没有什么高级东西，ssdt hook就能让xuetr无法列出窗口。
Ps：TaProcPt Win7 XueTr查看窗口蓝屏。
而且虚拟机xp xuetr一卡一卡的。

Tesla.Angela · 发表于 2011-8-17 21:36:33

Xor 发表于 2011-8-17 21:29
看来是我错了，xuetr关闭窗体没有什么高级东西，ssdt hook就能让xuetr无法列出窗口。
Ps：TaProcPt Wi ...

悲剧！
你想啊，一般来说谁会在内核里查看窗口啊。。。

Xor · 发表于 2011-8-18 11:50:25

Tesla.Angela 发表于 2011-8-17 21:36
悲剧！
你想啊，一般来说谁会在内核里查看窗口啊。。。

xuetr 查看所有进程窗口，成功列出TaProcPt。关闭窗口——》成功关闭TaProcPt窗口。

Tesla.Angela · 发表于 2011-8-18 13:19:04

Xor 发表于 2011-8-18 11:50
xuetr 查看所有进程窗口，成功列出TaProcPt。关闭窗口——》成功关闭TaProcPt窗口。

。。。。。。
昨晚你还说不能的，现在又能了，莫非这还跟时间有关？

Xor · 发表于 2011-8-18 13:25:18

Tesla.Angela 发表于 2011-8-18 13:19
。。。。。。
昨晚你还说不能的，现在又能了，莫非这还跟时间有关？

xuetr 关窗口还是防不住（也许是少hook 了sssdt）。另外，win7 中运行后不能弹右键菜单（死机）。

Tesla.Angela · 发表于 2011-8-18 16:51:57

Xor 发表于 2011-8-18 13:25
xuetr 关窗口还是防不住（也许是少hook 了sssdt）。另外，win7 中运行后不能弹右键菜单（死机）。

TaProcPt是个09年写的破东西，极不稳定。

Xor · 发表于 2011-8-18 17:30:53

Tesla.Angela 发表于 2011-8-18 16:51
TaProcPt是个09年写的破东西，极不稳定。

有稳定的吗？

Tesla.Angela · 发表于 2011-8-18 19:47:46

Xor 发表于 2011-8-18 17:30
有稳定的吗？

你还没有考虑到多核心、PAE等特殊的情况。。。

账号		自动登录	找回密码
密码			加入我们