查看: 14162|回复: 7
收起左侧

[原创工具] 【纯属无聊】报废Ring3 Inline Hook实现的进程保护

[复制链接]
tang-ptr
发表于 2016-7-20 20:55:29 | 显示全部楼层 |阅读模式
本工具仅仅报废了Ring3下的保护,为防止逆向,加了VMP壳(有能力逆向的人基本上不逆也能写出一个)。测试对象:@ExitProcess 制作的ProcessProtected,理论支持NT全系列(不论Win32/64)
P.S:我记得我去年在vbgood上做了个功能相似的玩意,不过只兼容XP,这个就当是狗尾续貂吧。。。【PS:该版在Ring3大致上无敌,但在Ring0里简单地SSDT Hook一个函数就能使之失效】

MyKiller.zip

642.96 KB, 下载次数: 168

下载附件不回帖是一种很欠扁的行为

treeyard
发表于 2016-7-21 21:20:06 | 显示全部楼层
沙发前来支持大神
驭龙
发表于 2016-7-22 14:28:46 | 显示全部楼层
下载14次,居然没几个回复的,楼主的附件描述被忽视了,那我来支持一下,第15个下载者
驭龙
发表于 2016-7-22 15:50:35 | 显示全部楼层
本帖最后由 驭龙 于 2016-7-22 16:01 编辑

重复内容,编辑掉
蚯蚓翔龙
发表于 2016-8-4 09:31:13 | 显示全部楼层
刚才看了下 仅针对这个的话在R3完全可以hook GetProcAddress 引导到别的地方去,甚至是moveMemory这种让你钩子都恢复不了 方法不少
SSDT可以hook NtTerminateProcess 或NtOpenProcess等等方法也很多
话说这VMP好像加得有点水
tang-ptr
 楼主| 发表于 2016-8-4 10:00:09 | 显示全部楼层
蚯蚓翔龙 发表于 2016-8-4 09:31
刚才看了下 仅针对这个的话在R3完全可以hook GetProcAddress 引导到别的地方去,甚至是moveMemory这种让你钩 ...

你说的这些挂钩点都是可以自己实现的【只是我偷懒了】
蚯蚓翔龙
发表于 2016-8-4 19:41:52 | 显示全部楼层
tang-ptr 发表于 2016-8-4 10:00
你说的这些挂钩点都是可以自己实现的【只是我偷懒了】

如果是CreateFile能实现么 我知道那几个可以自己实现 其实简单的话自己组建机器码sysenter都行了 ...
tang-ptr
 楼主| 发表于 2016-8-4 19:59:44 | 显示全部楼层
蚯蚓翔龙 发表于 2016-8-4 19:41
如果是CreateFile能实现么 我知道那几个可以自己实现 其实简单的话自己组建机器码sysenter都行了 ...

我指的是CopyMemory GetProcAddress GetModuleHandle这些函数。自己组建机器码那个玩意兼容性不好,每个系统都不一样要重新确认。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-5-24 02:39 , Processed in 0.106769 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表