[R3无驱ARK] AntiRookit4Dream v0.1 Alpha Build140407 2014.04.07大更新,更多新功能

gwsbhqt

风之暇想 发表于 2014-4-1 20:51
坐等有各种系统修复功能(修复流氓破坏)

会的会的，主要是我对现有ARK不太适合和满意，所以，想为自己和大卡饭们量身定做一下
记得要关注哟~

gwsbhqt

天月来了 发表于 2014-4-1 20:58
等你进程，驱动，服务以及文件管理做完我再细看咯

支持无驱以及多系统支持的工具呢

唉，漫漫长路…

gwsbhqt

lpmjknj 发表于 2014-4-1 17:41
路过支持一下，经过测试 无法结束360，打开进程是用的复制句柄! 结束一些带保护程序  自己有时候会内存错误 ...

what_lianxue大大，很高兴很感谢可以来捧场，话说已经崇拜了你的大作XueSword 很久啦~
我可以说，其实我是以你的为榜样的吗？
由于楼主是个高中狗，渣机无网，只有XP可以测试，咦？在我这里，除了ZhuDongFangYu.exe，其他的360都可以杀…不知道…大大有没有右键管理员运行？…嘿嘿…
话说你咋知道我打开进程用的是复制句柄？…
因为杀进程用了一种Nt循环卸载模块和三种Nt循环涂写内存，所以一但打开进程被拦截并返回自身句柄的话就有可能误杀自己了…话说我已经用GetProcessId检验打开进程返回值并过滤自身句柄了啊，怎么还会这样？…求大牛指点指点…先谢咯~

lpmjknj

xp系统，

gwsbhqt

lpmjknj 发表于 2014-4-2 07:54
xp系统，

好吧，被大大打脸了…看来我还得努力查错去…
话说出现这个情况是什么时候？凭空产生？枚举进程时？枚举模块线程窗口时？还是结束进程时？请大大指出…(八成估计是结束进程时…)
另外，非常感谢大大的测试~

zgzxp

cp 即Consumer Preview吧
看来楼主还需继续革命啊

lpmjknj

0x7c92120e，貌似是ntdll.dll的内存范围内，另外是结束进程出现的情况，不信你结束冰刃之类的软件试试

gwsbhqt

zgzxp 发表于 2014-4-2 09:33
cp 即Consumer Preview吧
看来楼主还需继续革命啊

Consumer Preview，秒懂…缩写成这样…
按微软的做法:
DP->RP->CP->XP
唉，慢慢长路…

gwsbhqt

lpmjknj 发表于 2014-4-2 09:56
0x7c92120e，貌似是ntdll.dll的内存范围内，另外是结束进程出现的情况，不信你结束冰刃之类的软件试试

果不其然，应该是打开进程被返回自身句柄了，结束进程时一上来就开始从0x400000循环到0x80000000一路NtUnmapViewOfSection了，也不管当前基址是否有模块…估计是误杀自己了…
话说大大可否教教如何过滤自身句柄？返回自身句柄即跳过？我已经写了if(GetProcessId(hProcess)==GetCurrentProcess()){return 0;};可是为什么还是会出现误杀自己的情况？求大大教教了~
PS.XueSword的自保真的不是一般的强…迥…

lpmjknj

ZwQuerySystemInformation可以查询到句柄所属的pid
另外卸载模块只需卸载ntdll.dll即可让进程挂掉，卸载其他模块个人认为没有必要