查看: 21924|回复: 7
收起左侧

[原创工具] 【纯属无聊】报废Ring3 Inline Hook实现的进程保护

[复制链接]
tang-ptr
发表于 2016-7-20 20:55:29 | 显示全部楼层 |阅读模式
本工具仅仅报废了Ring3下的保护,为防止逆向,加了VMP壳(有能力逆向的人基本上不逆也能写出一个)。测试对象:@ExitProcess 制作的ProcessProtected,理论支持NT全系列(不论Win32/64)
P.S:我记得我去年在vbgood上做了个功能相似的玩意,不过只兼容XP,这个就当是狗尾续貂吧。。。【PS:该版在Ring3大致上无敌,但在Ring0里简单地SSDT Hook一个函数就能使之失效】

MyKiller.zip

642.96 KB, 下载次数: 844

下载附件不回帖是一种很欠扁的行为

treeyard
发表于 2016-7-21 21:20:06 | 显示全部楼层
沙发前来支持大神
驭龙
发表于 2016-7-22 14:28:46 | 显示全部楼层
下载14次,居然没几个回复的,楼主的附件描述被忽视了,那我来支持一下,第15个下载者
驭龙
发表于 2016-7-22 15:50:35 | 显示全部楼层
本帖最后由 驭龙 于 2016-7-22 16:01 编辑

重复内容,编辑掉
蚯蚓翔龙
发表于 2016-8-4 09:31:13 | 显示全部楼层
刚才看了下 仅针对这个的话在R3完全可以hook GetProcAddress 引导到别的地方去,甚至是moveMemory这种让你钩子都恢复不了 方法不少
SSDT可以hook NtTerminateProcess 或NtOpenProcess等等方法也很多
话说这VMP好像加得有点水
tang-ptr
 楼主| 发表于 2016-8-4 10:00:09 | 显示全部楼层
蚯蚓翔龙 发表于 2016-8-4 09:31
刚才看了下 仅针对这个的话在R3完全可以hook GetProcAddress 引导到别的地方去,甚至是moveMemory这种让你钩 ...

你说的这些挂钩点都是可以自己实现的【只是我偷懒了】
蚯蚓翔龙
发表于 2016-8-4 19:41:52 | 显示全部楼层
tang-ptr 发表于 2016-8-4 10:00
你说的这些挂钩点都是可以自己实现的【只是我偷懒了】

如果是CreateFile能实现么 我知道那几个可以自己实现 其实简单的话自己组建机器码sysenter都行了 ...
tang-ptr
 楼主| 发表于 2016-8-4 19:59:44 | 显示全部楼层
蚯蚓翔龙 发表于 2016-8-4 19:41
如果是CreateFile能实现么 我知道那几个可以自己实现 其实简单的话自己组建机器码sysenter都行了 ...

我指的是CopyMemory GetProcAddress GetModuleHandle这些函数。自己组建机器码那个玩意兼容性不好,每个系统都不一样要重新确认。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 22:38 , Processed in 0.131775 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表