【给力更新】给力的小fACK又一个

BHHZDQL

hx1997 发表于 2011-6-18 19:21
然后啥也没发生，囧囧
沙盘真威武
试下其他的

直接实际机器运行吧

左手

2011-06-18 19:27:09    创建新进程    阻止
进程: h:\program files\avp\fack2.exe
目标: c:\program files\fack.exe
命令行: "C:\Program Files\FACK.exe"
规则: [应用程序组]●【通用】PF组(禁放程序)

2011-06-18 19:27:18    修改文件    阻止
进程: h:\program files\avp\fack2.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

2011-06-18 19:27:18    修改文件    阻止
进程: h:\program files\avp\fack2.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

2011-06-18 19:27:18    修改文件    阻止
进程: h:\program files\avp\fack2.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

2011-06-18 19:27:18    修改文件    阻止
进程: h:\program files\avp\fack2.exe
目标: \Device\NamedPipe\wkssvc
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

2011-06-18 19:27:18    创建文件    阻止
进程: h:\program files\avp\fack2.exe
目标: C:\Documents and Settings\All Users\「开始」菜单\程序\启动\qidong.lnk
规则: [应用程序组]●【通用】PF组(禁放程序) -> [文件组][FD_04]添加/修改启动（阻止）

2011-06-18 19:27:18    修改文件    阻止
进程: c:\program files\fack.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

2011-06-18 19:27:18    修改文件    阻止
进程: c:\program files\fack.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

2011-06-18 19:27:18    修改文件    阻止
进程: c:\program files\fack.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

2011-06-18 19:27:18    修改文件    阻止
进程: c:\program files\fack.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

2011-06-18 19:27:20    修改文件    阻止
进程: c:\program files\fack.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

2011-06-18 19:27:20    修改文件    阻止
进程: c:\program files\fack.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组][FD_03]命名管道(阻止) -> [文件]\device\namedpipe\*

BHHZDQL

左手 发表于 2011-6-18 19:31
2011-06-18 19:27:09    创建新进程    阻止
进程: h:\program files\avp\fack2.exe
目标: c:\program fi ...

直接运行把，如何解决我都贴出来了

hx1997

BHHZDQL 发表于 2011-6-18 19:24
直接实际机器运行吧

嗯，等会试试
经测试降权可以完美防御关机~
但是Job对象里的关机限制却防不住关机

BHHZDQL

hx1997 发表于 2011-6-18 19:38
嗯，等会试试
经测试降权可以完美防御关机~
但是Job对象里的关机限制却防不住关机

降权限不行我就发现漏洞了
PS：我知道能不能防，程序是我写的

hx1997

BHHZDQL 发表于 2011-6-18 19:40
降权限不行我就发现漏洞了
PS：我知道能不能防，程序是我写的

我当然知道是你写的
给别人看的，不想单独发个帖子，直接回复给你了

PS 查了下MSDN原来Job对象只防御ExitWindows和ExitWindowsEx，囧

唐人

F-Secure kill 之

忧郁的迷糊酱

被卡巴入库了

hx1997

实机跑了下的确重启了
而且不用进安全模式，按LZ说的做就能恢复了
要是木有那个框的话...估计就要安全模式了

补一句，据说发送EWX_SHUTDOWN还是EWX_SHUTDOWN | EWX_FORCE给csrss.exe可以关机

BHHZDQL

hx1997 发表于 2011-6-18 20:01
实机跑了下的确重启了
而且不用进安全模式，按LZ说的做就能恢复了
要是木有那个框的话...估计就要安全模式 ...

没有框只需要去掉一行代码