楼主: zhq445078388
收起左侧

[原创工具] 【2012.07.24更新】内核 保护进程 + 结束进程

  [复制链接]
zhq445078388
 楼主| 发表于 2012-6-18 17:00:11 | 显示全部楼层
BootLoader 发表于 2012-6-18 16:36
1.OpenProcess拦截可以被轻易绕过,比如PID+1大法
获得句柄后用UnmapSection,WriteVM等方法都可以结束了
...

TerminateThread这里因为考虑到我根本不清楚这货释放了啥..自己尝试时候还曾经残留了进程..所以不敢做
至于
OpenProcess参数判断没Probe,有拒绝服务漏洞。

..亲 这个大概要怎么做?
如果是恶意构造..我只要read一下就会蓝吧= =~!
BootLoader
头像被屏蔽
发表于 2012-6-18 17:04:54 | 显示全部楼层
本帖最后由 BootLoader 于 2012-6-18 17:10 编辑
zhq445078388 发表于 2012-6-18 17:00
TerminateThread这里因为考虑到我根本不清楚这货释放了啥..自己尝试时候还曾经残留了进程..所以不敢做
至 ...


先用 ExGetPreviousMode判断是否是用户模式调用,在try...except内访问用户内存,并且在访问前用ProbeForRead检查是否用户态内存。

一个简单的范例:
..

if (ExGetPreviousMode()==KernelMode)
{
goto callorg;
}
__try
{
  ProbeForRead(ClientId , sizeof(CLIENT_ID) , sizeof(ULONG));
  if (ClientId.UniqueProcess.....
.....

}
__except(EXCEPTION_EXECUTE_HANDLER )
{
        goto callorg;
}
zhq445078388
 楼主| 发表于 2012-6-18 17:06:19 | 显示全部楼层
本帖最后由 zhq445078388 于 2012-6-18 17:08 编辑
BootLoader 发表于 2012-6-18 16:47
一个两行代码杀楼主驱动保护的进程的小程序,用PID+1大法和远线程退出


谢谢 看了下 下面还得去
HOOK NtCreateThread
额 还有
HOOK NTTerminateThread
zhq445078388
 楼主| 发表于 2012-6-18 17:09:51 | 显示全部楼层
本帖最后由 zhq445078388 于 2012-6-18 17:25 编辑
BootLoader 发表于 2012-6-18 17:04
先用 ExGetPreviousMode判断是否是用户模式调用,在try...except内访问用户内存,并且在访问前用ProbeF ...


(似懂非懂)
谢谢大大..我估计我得研究几天了= =~! 就这几个洞就得忙了..
..估计在大大眼里这就是个筛子吧 = =~!!!!
zhq445078388
 楼主| 发表于 2012-6-18 17:27:59 | 显示全部楼层
BootLoader 发表于 2012-6-18 16:47
一个两行代码杀楼主驱动保护的进程的小程序,用PID+1大法和远线程退出

对了大大,,我记得有个代码定义常量时候是
类似
#if System version== XP
#define SSDTTerminate   0x101
#else if  System version == win7
#define SSDTTerminate   0x172
#endif
类似这样..怎么做到的..我想好久没弄明白= =~
BootLoader
头像被屏蔽
发表于 2012-6-18 17:35:05 | 显示全部楼层
zhq445078388 发表于 2012-6-18 17:27
对了大大,,我记得有个代码定义常量时候是
类似
#if System version== XP

预编译 http://baike.baidu.com/view/176610.htm
857795
发表于 2012-6-18 17:48:03 | 显示全部楼层
必须支持啊
blacklist
发表于 2012-6-18 18:18:18 | 显示全部楼层
支持一下
zhq445078388
 楼主| 发表于 2012-6-18 18:32:29 | 显示全部楼层
BootLoader 发表于 2012-6-18 17:35
预编译 http://baike.baidu.com/view/176610.htm

我没看明白..
我是说..有个判断系统版本来定义常量的方法..怎么做呢= =~!
天原
发表于 2012-6-18 23:43:07 | 显示全部楼层
手机党来看看
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:50 , Processed in 0.087215 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表