利用APC代码注入Ring3强杀微点

zeadstone

原贴地址：http://www.mpfans.org/thread-28377-1-1.html

玩玩微点之一：利用CreateEvent函数不让微点启动
http://hi.baidu.com/shineastdh/b ... 465209d9f9fd4c.html

玩玩微点之二：利用远程线程Ring3杀微点（严重）
http://hi.baidu.com/shineastdh/b ... 173d3b70cf6c58.html

今天写的这篇意义和上面第二篇差不多，都是在ring3杀死微点 微点托盘图标上的那个黄秋不转了。废话不说了，我大概说说思路：

1.首先得到微点进程的pid和handle，我想这不是什么难事；

2.枚举微点进程的每个线程，得到线程的tid和handle，我想这也不是什么难事；

3.在微点的进程内存中找这样的字符串"nel32.dll"，一定可以找到，因为"kernel32.dll"这样的字符串是必然存在的；找到以后把这个字符串的地址记录下来。切忌该过程中，顶多读它的内存而已，动作不要太大。

4.QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)pStrAddress)其中hThread是上面第2步得到的线程句柄，pStrAddress是上面第3步得到的"nel32.dll"字符串的地址。

这样的话，由于微点没有防QueueUserAPC，于是nel32.dll便成功的注入到微点的某个进程中。当然了这里要注意两点：

一是，nel32.dll要提前复制到系统目录下去，例如C:\windows或者C:\windows\system32；

二是，为了杀死微点的进程，nel32.dll可以如下写：

BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD ul_reason_for_call,
                       LPVOID lpReserved)
{
if(ul_reason_for_call == DLL_PROCESS_ATTACH)
   ExitProcess(0);
return TRUE;
}

好了，源码就不放出来了，放个bin吧，可以去我的网盘下载！

http://shineast.ys168.com/


shineast_Active_Defense_Software 我原创的主动防御软件：
http://hi.baidu.com/micropoint/b ... 9a263967096eaf.html,

[ 本帖最后由 zeadstone 于 2009-1-29 22:36 编辑 ]

cbz107

标题漏洞

IllusionWing

APC排队...这API第一次看到。下次试试

IllusionWing

刚刚查了一下。APC必须要在R0中MP进程为UserApcPending才可以实现。

wsmurderer

只杀掉了微点的图标，仍然可以保护

IllusionWing

因为这个例程没有干掉所有Mp进程。这个举一反三是很容易的

燕踏飞泉

LZ厉害，利用论坛bug自行设置高亮
建议LZ自行取消。
因版版不在，在的话会给LZ设置高亮的~~

wsmurderer

厉害，微点到现在都还没有解决

zh94518

厉害 支持你的原作

dl123100

利用APC代码注入Ring3强杀江民出2008时就防住了

[ 本帖最后由 dl123100 于 2009-1-29 16:30 编辑 ]