制作属于自己的杀软吧.这里发个带进程保护功能+监控进程启动的驱动的源码

zhq445078388

还记得我很久之前跳票了很多次的那个内核保护进程么?

http://bbs.kafan.cn/thread-1310407-1-1.html

就是这个

NTOpenProcess                  ---打开进程
NTSetSystemInformation      --特殊方式加载驱动程序
NTTerminateprocess            --结束进程
NTNtCreateThread              --创建线程
ObOpenObjectByPointer       --NTOpenProcess深层函数调用

因为已经完成了一个HOOK的通用函数..所以这个就没啥用了..说真的.自己改了改
把多线程安全搞定了下

现在我也不确定会不会有问题.编译出来简单测了下

只支持xp sp3 以及win7 sp1 和 win8 build 8400 的32位

不过..win8现在是9600了吧? 所以建议win8同学就别用了..

大家可以把源码拿走参考参考

文件:
ZMPIdriver.sys     - 编译好的驱动程序
ZMPIdriver.pdb     -  驱动程序的符号文件
简单驱动控制.exe - 用户态控制程序
src.zip                 - 源码


代码写的乱啥的请海涵...通讯方式请务必不要嘲讽= =

我表示.我也不知道当时为啥把HOOK部分的代码写的那么乱.我自己现在解读都很麻烦..

我发的另外一个带源码的.这个是监控进程启动的.
http://bbs.kafan.cn/thread-1558325-1-1.html


这两套加一起(这个帖子的源码做下扩展).可以简单的弄个差点的HIPS雏形...

我前段时间在看雪发了一个写了一半的通用HOOK
http://bbs.pediy.com/showthread.php?t=174170
当然里面有个蛋疼的SSDT HOOK恢复思路..

完善过的我就不发了... 会写的自然看不上



各位一直等待我更新的同学..请务必原谅小的




最下面那个..本来应该是XUETR的地盘的..结果让我给占了...不过..这个属于后来先得

先开XUETR再开这个程序.就可以把这个点抢了.反之XUETR就能抢到

天原

友情支持个

大金鱼先生

看一下···

zjcnlucky

楼主蛋疼啊，自己买件长袍就能当医生么

ssama

恶心的电信居然把看雪地址“在线防毒墙提示您您惘闻的页面存在威胁”

xxm2011

感谢楼主的源码，不过那个应用层的exe被360报了，导致整个压缩包也被报了

zhq445078388

大金鱼先生 发表于 2013-8-19 17:09
看一下···

驱动在这里的功能是保护自身.但是其逻辑是通用的

只不过是通讯的问题.而通讯的问题在那个监控进程启动里面解决了

所以两个加一起 可以做个粗糙的HIPS的内核模块

大金鱼先生

zhq445078388 发表于 2013-8-19 17:25
驱动在这里的功能是保护自身.但是其逻辑是通用的

只不过是通讯的问题.而通讯的问题在那个监控进程启动 ...

简易的hips··其实有基本上的粗糙成品开源的··虽然我没看过··小白看不懂····http://www.52pojie.cn/thread-97152-1-1.html

zhq445078388

大金鱼先生 发表于 2013-8-19 17:26
简易的hips··其实有基本上的粗糙成品开源的··虽然我没看过··小白看不懂····http://www.52pojie ...

这类东西很多的~

大金鱼先生

zhq445078388 发表于 2013-8-19 17:28
这类东西很多的~

小白看不懂怎么办···