火绒盾（断开网络失效）问题已经查明～～【问题已经解决】

显示全部楼层 · 发表于 2012-7-31 17:34:23

BootMgr 发表于 2012-7-31 14:29
自己的HOOK写得不好就不说了，出问题还要赖别人？别人挂了IAT你就出问题，这是什么代码质量啊

而且还是没 ...

挂钩本身对系统性能影响并不大，有影响的是HOOK后的处理过程，这个需要作者有很好的技巧来最大可能的提高处理的效率

显示全部楼层 · 发表于 2012-7-31 17:36:18

public string getPostBackStream()
{
string postData1 = "-------------------------------7d83e2d7a141e" + '\n' + "Content-Disposition: form-data; name=" + '"' + "md5s" + '"' + '\n' + '\n' + md5(filename.Text) + '\n' + '\n';
string postData2 = "-------------------------------7d83e2d7a141e" + '\n' + "Content-Disposition: form-data; name=" + '"' + "format" + '"' + '\n' + '\n' + "XML" + '\n';
string postData3 = "-------------------------------7d83e2d7a141e" + '\n' + "Content-Disposition: form-data; name=" + '"' + "product" + '"' + '\n' + '\n' + "360zip" + '\n';
string postData4 = "-------------------------------7d83e2d7a141e" + '\n' + "Content-Disposition: form-data; name=" + '"' + "combo" + '"' + '\n' + '\n' + "360zip_main" + '\n';
string postData5 = "-------------------------------7d83e2d7a141e" + '\n' + "Content-Disposition: form-data; name=" + '"' + "360zip_main" + '"' + '\n' + '\n' + "2" + '\n';
string postData6 = "-------------------------------7d83e2d7a141e" + '\n' + "Content-Disposition: form-data; name=" + '"' + "osver" + '"' + '\n' + '\n' + "5.1" + '\n';
string postData7 = "-------------------------------7d83e2d7a141e" + '\n' + "Content-Disposition: form-data; name=" + '"' + "vk" + '"' + '\n' + '\n' + "a03bc211" + '\n';
string postData8 = "-------------------------------7d83e2d7a141e" + '\n' + "Content-Disposition: form-data; name=" + '"' + "mid" + '"' + '\n' + '\n' + "8a40d9eff408a78fe9ec10a0e7e60f62" + '\n';
string postData9 = "-------------------------------7d83e2d7a141e";
string postData=postData1+postData2+postData3+postData4+postData5+postData6+postData7+postData8+postData9;
string url = "http://qup.f.360.cn/file_health_info.php";
byte[] byteRequest = Encoding.Default.GetBytes(postData); //postData中存储了附加信息，转化为默认编码方式
HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create(url);
CookieContainer cc = new CookieContainer();
request.ContentType = "application/x-www-form-urlencoded";
request.CookieContainer = cc;
request.Referer = "image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*";
request.ContentLength = byteRequest.Length;
request.Accept = "*/*";
request.Method = "POST";
Stream stream = request.GetRequestStream();
stream.Write(byteRequest, 0, byteRequest.Length);
stream.Close();
HttpWebResponse response = (HttpWebResponse)request.GetResponse();
stream = response.GetResponseStream();
StreamReader reader = new StreamReader(stream,Encoding.GetEncoding("GBK"));
string html = reader.ReadToEnd();
return html;
}

复制代码

既然有大牛在，询问个很小白的问题·····这个post到360的网址为啥子到了红色的那一步会提示错误，远程服务器禁止呢？抓包了下，服务器返回的是404，但是用其他软件同样的post格式是能返回数据的····

显示全部楼层 · 发表于 2012-7-31 17:45:20

BootMgr 发表于 2012-7-31 15:44
下了个火绒，简单看了下这个的实现，搞明白原因了，根本就不是你那个贴图的调用原始的NdisRegisterPro ...

膜拜MJ！

显示全部楼层 · 发表于 2012-7-31 17:52:37

本帖最后由 zhq445078388 于 2012-7-31 17:55 编辑

BootMgr 发表于 2012-7-31 17:32
在r0拦截除了一些特殊的功能外，基本上没有意义的，如果你看到一些安全软件（比如微点、江民之类）去防御 ...

比如可以修改他的主线程中段指向exitprocess来实现让他安全退出
或者搜索CreateThread调用点让他的函数地址参数修改为exitprocess的入口?

嘿嘿想想就猥琐哦
比如先定位CreateThread地址然后全局解析call
看哪里call到那个地址了然后把上面的push传参修改掉改成exitprocess的入口~

显示全部楼层 · 发表于 2012-7-31 18:13:15

chujunci 发表于 2012-7-31 17:21
这个是360的HOOK保护？

你怎么会这么理解的?

显示全部楼层 · 发表于 2012-7-31 18:15:31

zhq445078388 发表于 2012-7-31 18:13
你怎么会这么理解的?

这个。。。。。。。。。我。。。。。。。。。听大肉鸡说的，不过貌似他说的不是指这个。

显示全部楼层 · 发表于 2012-7-31 18:19:35

chujunci 发表于 2012-7-31 18:15
这个。。。。。。。。。我。。。。。。。。。听大肉鸡说的，不过貌似他说的不是指这个。

.额...这个方法是我用在我的那个驱动保护上的

显示全部楼层 · 发表于 2012-7-31 18:21:09

zhq445078388 发表于 2012-7-31 18:19
.额...这个方法是我用在我的那个驱动保护上的

其实很正常啦！用HOOK保护HOOK等其他是很常见的手法。

显示全部楼层 · 发表于 2012-7-31 18:30:23

chujunci 发表于 2012-7-31 18:21
其实很正常啦！用HOOK保护HOOK等其他是很常见的手法。

是一种很猥琐的~

显示全部楼层 · 发表于 2012-7-31 18:32:14

zhq445078388 发表于 2012-7-31 18:30
是一种很猥琐的~

哈哈！是的1

你是怎么走上这条学习之路的？？？

你看了那些书籍资料？看看和我的可一样。

[分享] 火绒盾（断开网络失效）问题已经查明～～【问题已经解决】