设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [原创开源]在WIN64上使用对象回调保护进程 ...
123下一页
返回列表 发新帖
楼主: Tesla.Angela

[原创开源]在WIN64上使用对象回调保护进程

 火... [复制链接]
andylau004

0

主题

117

回帖

0

精华

银牌会员

积分
595
发表于 2015-1-28 20:39:18 | 显示全部楼层
学习下,,TA的大作
回复

举报

Thinkpador

0

主题

15

回帖

0

精华

初来乍到

积分
21
发表于 2015-3-7 13:39:55 | 显示全部楼层
谢谢分享
回复

举报

sd1228

0

主题

39

回帖

0

精华

铜牌会员

积分
56
发表于 2015-3-18 10:31:45 | 显示全部楼层
?????????????????????????
回复

举报

h262591533

0

主题

16

回帖

0

精华

铜牌会员

积分
32
发表于 2015-3-18 16:04:55 | 显示全部楼层
特来学习一下,谢谢楼主
回复

举报

dak811

2

主题

26

回帖

0

精华

铜牌会员

积分
174
发表于 2015-3-18 23:32:33 | 显示全部楼层
我也来看看
回复

举报

dak811

2

主题

26

回帖

0

精华

铜牌会员

积分
174
发表于 2015-3-18 23:32:45 | 显示全部楼层
我也来看看!
回复

举报

dak811

2

主题

26

回帖

0

精华

铜牌会员

积分
174
发表于 2015-3-18 23:33:27 | 显示全部楼层
这个可是好东西,谢谢分享
回复

举报

luqi_44

6

主题

103

回帖

0

精华

金牌会员

积分
680
发表于 2015-3-19 10:39:32 | 显示全部楼层
好像教程里有这个内容
回复

举报

dhc83749787

0

主题

7

回帖

0

精华

铜牌会员

积分
41
发表于 2015-4-24 04:05:32 | 显示全部楼层
。。。。大学的时候是什么时候。。老大是85后?
回复

举报

飞跃

1

主题

35

回帖

0

精华

铜牌会员

积分
129
发表于 2015-4-24 08:34:18 | 显示全部楼层
好东西学习,值得拥有
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-5-1 16:27:16 | 显示全部楼层
五一快乐!
回复

举报

baggiowangyu

0

主题

47

回帖

0

精华

贵宾会员

积分
89
发表于 2015-5-4 08:57:15 | 显示全部楼层
看看老贴
回复

举报

irooky

0

主题

21

回帖

0

精华

铜牌会员

积分
104
发表于 2015-5-7 08:00:03 | 显示全部楼层
感谢楼主
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-5-9 12:29:29 | 显示全部楼层
必须支持大侠们分享精神
回复

举报

PudgeCHN

0

主题

6

回帖

0

精华

初来乍到

积分
29
发表于 2015-5-14 14:02:27 | 显示全部楼层
看了几个帖子,虽然在干嘛不大清楚,但是感觉很有武林高手范儿。我能理解为小Cracker破software,大Cracker搞Win-System么?
回复

举报

cykefu

0

主题

9

回帖

0

精华

铜牌会员

积分
45
发表于 2015-6-16 19:21:54 | 显示全部楼层
老大的帖子, 现在看到了 学习ing。。。
回复

举报

huoyong1985

0

主题

24

回帖

0

精华

铜牌会员

积分
99
发表于 2015-6-18 21:18:26 | 显示全部楼层
大神就是厉害
回复

举报

alvinstack

0

主题

11

回帖

0

精华

铜牌会员

积分
134
发表于 2015-7-25 18:21:18 | 显示全部楼层
早就想看源码了
回复

举报

绿林科技

5

主题

103

回帖

0

精华

铜牌会员

积分
252
发表于 2015-7-25 19:20:13 | 显示全部楼层
谢谢了!一直找的。支持开源精神。谢谢大牛。
回复

举报

wqh21

0

主题

12

回帖

0

精华

铜牌会员

积分
88
发表于 2015-7-28 17:11:57 | 显示全部楼层
谢谢分享
回复

举报

kz丶cn

4

主题

145

回帖

0

精华

金牌会员

积分
1189
发表于 2015-7-30 14:02:48 | 显示全部楼层
发现来了紫水晶 进步好快。。。
回复

举报

lynnux

0

主题

7

回帖

0

精华

初来乍到

积分
18
发表于 2015-9-7 09:03:12 | 显示全部楼层
谢谢,正需要
回复

举报

284406022

2

主题

165

回帖

0

精华

金牌会员

积分
944
发表于 2016-6-14 08:31:47 | 显示全部楼层
来看看源码的,好像这个ob方法在win8x64上运行,用任务管理器可以关闭进程
回复

举报

lizhuowu

0

主题

67

回帖

0

精华

铂金会员

积分
2141
发表于 2016-6-19 22:52:31 | 显示全部楼层
楼主看来是一个好销售员啊~~
回复

举报

hanhaochi

0

主题

22

回帖

0

精华

铜牌会员

积分
80
发表于 2016-6-21 10:11:10 | 显示全部楼层
谢谢分享……
回复

举报

284406022

2

主题

165

回帖

0

精华

金牌会员

积分
944
发表于 2016-6-22 08:50:13 | 显示全部楼层
调试跑了一下,好像win7x86/win8.1x86 ObRegisterCallbacks函数都返回失败?你们试了没有吗?
想问下,Vista之前的系统有什么方法保护进程呢?SSDT-hook(要找每个系统的函数ssdt的id)? 提升进程的线程为系统线程?(要找每个系统的Etread的xx偏移)? 不知道还有哪种方法
回复

举报

tangptr@126.com

78

主题

190

回帖

9

精华

贵宾会员

积分
15605
发表于 2016-6-22 21:30:06 | 显示全部楼层
最简单的办法就是挂钩PsLookupProcessByProcessId和PsLookupThreadByThreadId以及NtDuplicateObject还有KeInsertQueueApc。这四个都是导出函数,挂钩后Ring3就没有什么办法杀进程了。当然咯还有在Windows XP里要废掉NtSystemDebugControl这玩意。有很多在XP下Ring3强杀进程的东西会使用这个函数。挂钩好这些函数,一些Ring0的杀进程代码也会变得无效。直接Inline Hook就行了,虽然有概率蓝屏
回复

举报

tangptr@126.com

78

主题

190

回帖

9

精华

贵宾会员

积分
15605
发表于 2016-6-22 21:30:42 | 显示全部楼层
284406022 发表于 2016-6-22 08:50
调试跑了一下,好像win7x86/win8.1x86 ObRegisterCallbacks函数都返回失败?你们试了没有吗?
想问下,Vista之 ...

最简单的办法就是挂钩PsLookupProcessByProcessId和PsLookupThreadByThreadId以及NtDuplicateObject还有KeInsertQueueApc。这四个都是导出函数,挂钩后Ring3就没有什么办法杀进程了。当然咯还有在Windows XP里要废掉NtSystemDebugControl这玩意。有很多在XP下Ring3强杀进程的东西会使用这个函数。挂钩好这些函数,一些Ring0的杀进程代码也会变得无效。直接Inline Hook就行了,虽然有概率蓝屏。
回复

举报

284406022

2

主题

165

回帖

0

精华

金牌会员

积分
944
发表于 2016-6-22 22:57:57 | 显示全部楼层
本帖最后由 284406022 于 2016-6-22 23:00 编辑
tangptr@126.com 发表于 2016-6-22 21:30
最简单的办法就是挂钩PsLookupProcessByProcessId和PsLookupThreadByThreadId以及NtDuplicateObject还有K ...


我也是很讨厌ssdt-hook 或者inline-hook的,我找了一个思路:就是把进程的线程提示为系统进程,不过这个要对Eprocess->EThread操作,,这两个结构体又是经常变来变去的,还是比较麻烦的,vista之前的系统也分x86和x64的,像你说的inline-hook,总感觉不够稳定(特别是x64的inline-hook,不知道用管理员教程里的inline-hook稳不稳定?)
回复

举报

284406022

2

主题

165

回帖

0

精华

金牌会员

积分
944
发表于 2016-6-22 23:03:06 | 显示全部楼层
tangptr@126.com 发表于 2016-6-22 21:30
最简单的办法就是挂钩PsLookupProcessByProcessId和PsLookupThreadByThreadId以及NtDuplicateObject还有K ...

win7x86,win8.1x86,win10x86下的ObXXXXXXcallback失败原因找到了,原来是一个结构体偏移错了,不是+0x68了,而是+0x34了
回复

举报

tangptr@126.com

78

主题

190

回帖

9

精华

贵宾会员

积分
15605
发表于 2016-6-23 15:47:24 | 显示全部楼层
284406022 发表于 2016-6-22 23:03
win7x86,win8.1x86,win10x86下的ObXXXXXXcallback失败原因找到了,原来是一个结构体偏移错了,不是+0x68了, ...

然而XP和2k3没有回调保护进程
话说hook的话如果不嫌麻烦可以call hook,蓝屏率是很低的。
回复

举报

jyw0113

0

主题

59

回帖

0

精华

铜牌会员

积分
303
发表于 2016-6-28 10:11:38 | 显示全部楼层
学习下,看看
回复

举报

123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表