R3 Power Process Protected [Ring3用户态进程保护例程]

显示全部楼层 · 发表于 2015-3-31 01:12:47

本帖最后由 ExitProces 于 2015-3-31 01:21 编辑

R3 Power Process Protected [Ring3用户态进程保护例程]
最近一直很想开始Windows的内核学习,可是在逛论坛的时候,看到了很多以前的事情,感触比较深.
痛定思痛后觉得,在还没有对系统用户态很熟悉,很了解的前提下,还是放弃了开始学习Windows内核的想法.
我知道现在自己的学习进度已经落后很多大神们很远,确实也迫于无奈,只能脚踏实地,一步一个脚印的跟上.
万丈高楼平地起,再高的楼,根基不稳,一切都是浮云.
所以,我依然选择了继续深入Windows用户态学习,了解更多我以前不曾了解的.
总想着要做些什么留下点什么.所以,在R3层面思考了很久,绞尽脑汁做出了这个Ring3用户态进程保护例程.
希望能得到大神们的指点和斧正,在此先行谢过了.
捕获.JPG

例程中从多个方面专门针对自己以前做的AntiRookit4Dream做了相应的防护,如进程,线程,模块,窗口,注入,消息等等.
同时也测试过很多论坛上的和搜索引擎搜索上的R3进程强杀程序.
除了lpmjknj的SuperKill使用了ZwSystemDebugControl比较无解之外,其他R3进程强杀程序如jinfu的WTool等的都是可防的.
这个ZwSystemDebugControl略棘手,有机会我再学习学习.

ProcessProtected.rar (367 KB, 下载次数: 1030)

显示全部楼层 · 发表于 2015-3-31 03:53:56

不想说。。。

显示全部楼层 · 发表于 2015-3-31 07:30:17

woxingwoshu 发表于 2015-3-31 03:53
不想说。。。

我做的/说的有什么让你不满意的地方吗？请指出批评

显示全部楼层 · 发表于 2015-3-31 07:50:54

本帖最后由 benlvan 于 2015-3-31 07:52 编辑

你再读一次我上次给你的回复。
http://bbs.kafan.cn/forum.php?mo ... ;page=1#pid34468540
自己用机器码组建一个ZwOpenProcess和ZwTerminateProcess，再调用就行了。

显示全部楼层 · 发表于 2015-3-31 08:17:32

benlvan 发表于 2015-3-31 07:50
你再读一次我上次给你的回复。
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1817936&page=1#pid344 ...

我读是读过了，可是那个时候我已经写到一大半了。善始善终，就顺便写完他，好让以后有谁可以测试R3强杀的时候有强度稍微高一点点的测试程序可以测试。
话说，大大能否百忙抽空出来帮忙写个自己组建NT函数的例程出来给我等小白见识见识？在此先谢谢了！！

显示全部楼层 · 发表于 2015-3-31 08:23:54

benlvan 发表于 2015-3-31 07:50
你再读一次我上次给你的回复。
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1817936&page=1#pid344 ...

如果大大实在没空的话，那也非常谢谢了！这几天受您的教颇多。
希望以后大大您有空的话，可以多指点批评我，谢谢啦

显示全部楼层 · 发表于 2015-3-31 18:23:36

申请一块内存，直接照着api函数的机器码抄就行了，完事再call

显示全部楼层 · 发表于 2015-3-31 18:30:13

lpmjknj 发表于 2015-3-31 18:23
申请一块内存，直接照着api函数的机器码抄就行了，完事再call

这样,,,是用NtVirtualAlloc或者NtVirtualAllocEx申请一块内存,然后用WriteProcessMemory将事先准备的机器码/汇编指令写入吗?
如果将这三个一起Hook了呢?效果会不会好一点...
话说可不可以自己写个函数,用内联汇编实现OpenProcess和TerminatorProcess的效果?
好像这样根本无法防啊

显示全部楼层 · 发表于 2015-3-31 18:30:51

不过说实话ring3结束这个也不是什么难事

显示全部楼层 · 发表于 2015-3-31 18:32:24

lpmjknj 发表于 2015-3-31 18:30
不过说实话ring3结束这个也不是什么难事

XueSword的大大,您就别虐我等小菜鸟了

话说,大大有空可以写一个实例出来给我拜读吗
先谢过了哈

显示全部楼层 · 发表于 2015-4-28 23:47:48

卡饭现在搞内核交流的越来越少了，真是可惜。每天来这里看看都没有什么新贴子，心痛得无法呼吸。

显示全部楼层 · 发表于 2015-4-29 13:00:44

遇到测试程序或操作系统崩溃假死,DLL无法删除，这个你有什么好的解决办法没有

显示全部楼层 · 发表于 2015-4-29 22:05:48

学雷锋做人发表于 2015-4-29 13:00
遇到测试程序或操作系统崩溃假死,DLL无法删除，这个你有什么好的解决办法没有

请注销后重试.

显示全部楼层 · 发表于 2015-4-29 22:06:38

chornam 发表于 2015-4-28 23:47
卡饭现在搞内核交流的越来越少了，真是可惜。每天来这里看看都没有什么新贴子，心痛得无法呼吸。

靠别人来卡饭交流一点儿也不靠谱,什么也得靠自己.

显示全部楼层 · 发表于 2015-4-29 22:09:21

ExitProces 发表于 2015-4-29 22:05
请注销后重试.

我的意思是除了注销，还有其他办法解决？

显示全部楼层 · 发表于 2015-4-30 12:22:06

学雷锋做人发表于 2015-4-29 22:09
我的意思是除了注销，还有其他办法解决？

拜读过前辈您的File_Detection,能写出这个工具的你,估计是不需要我的答案了吧

显示全部楼层 · 发表于 2015-5-30 00:00:12

表示不是全局保护而是全局卡死，在win8上看了下像LoadLibraryEx等这些七字HOOK都在kernel32了，而不是更下层的
kernelbase，在这种情况上随便注入下个DLL内存清零或者直接奔溃等方法多了，LodR3HOOK太多东西了，注入了一大堆，也许要好好考虑效率吧
结束的方法还是比较多的。
随便写了个小程序
链接：http://pan.baidu.com/s/1i36EfC5 密码：2040
（解压密码：kafan，XP测试可轻松结束，原理很简单，加壳的原因只是较懒，直接借用Nooby大牛的工具功能罢了）

希望楼主多多指点下我R3的HOOK技巧

显示全部楼层 · 发表于 2015-5-30 18:47:22

蚯蚓翔龙发表于 2015-5-30 00:00
表示不是全局保护而是全局卡死，在win8上看了下像LoadLibraryEx等这些七字HOOK都在kernel32了，而不是更下 ...

非常抱歉,最近一直在忙ACM,确实时间非常紧迫,真是非常抱歉了,如果有意可以加Q聊

显示全部楼层 · 发表于 2015-6-9 01:21:17

运行环境：WindowsXP SP3 32位
1:打开WTool.exe 系统相关-自我保护(SSDT 进程保护)-进程-Process Protected.exe-右键-强制结束

完毕！

显示全部楼层 · 发表于 2015-6-9 18:35:01

jinfu 发表于 2015-6-9 01:21
运行环境：WindowsXP SP3 32位
1:打开WTool.exe 系统相关-自我保护(SSDT 进程保护)-进程-Process Protect ...

如果要讨论R3,请不要牵涉到驱动,好吗

[原创工具] R3 Power Process Protected [Ring3用户态进程保护例程]