楼主: ExitProces
收起左侧

[原创工具] R3 Power Process Protected [Ring3用户态进程保护例程]

[复制链接]
chornam
发表于 2015-4-28 23:47:48 来自手机 | 显示全部楼层
卡饭现在搞内核交流的越来越少了,真是可惜。每天来这里看看都没有什么新贴子,心痛得无法呼吸。
学雷锋做人
头像被屏蔽
发表于 2015-4-29 13:00:44 | 显示全部楼层
遇到测试程序或操作系统崩溃假死,DLL无法删除,这个你有什么好的解决办法没有
ExitProces
 楼主| 发表于 2015-4-29 22:05:48 | 显示全部楼层
学雷锋做人 发表于 2015-4-29 13:00
遇到测试程序或操作系统崩溃假死,DLL无法删除,这个你有什么好的解决办法没有

请注销后重试.
ExitProces
 楼主| 发表于 2015-4-29 22:06:38 | 显示全部楼层
chornam 发表于 2015-4-28 23:47
卡饭现在搞内核交流的越来越少了,真是可惜。每天来这里看看都没有什么新贴子,心痛得无法呼吸。

靠别人来卡饭交流一点儿也不靠谱,什么也得靠自己.
学雷锋做人
头像被屏蔽
发表于 2015-4-29 22:09:21 | 显示全部楼层

我的意思是除了注销,还有其他办法解决?
ExitProces
 楼主| 发表于 2015-4-30 12:22:06 | 显示全部楼层
学雷锋做人 发表于 2015-4-29 22:09
我的意思是除了注销,还有其他办法解决?

拜读过前辈您的File_Detection,能写出这个工具的你,估计是不需要我的答案了吧
蚯蚓翔龙
发表于 2015-5-30 00:00:12 | 显示全部楼层
表示不是全局保护而是全局卡死,在win8上看了下像LoadLibraryEx等这些七字HOOK都在kernel32了,而不是更下层的
kernelbase,在这种情况上随便注入下个DLL内存清零或者直接奔溃等方法多了,LodR3HOOK太多东西了,注入了一大堆,也许要好好考虑效率吧
结束的方法还是比较多的。
随便写了个小程序
链接:http://pan.baidu.com/s/1i36EfC5 密码:2040
(解压密码:kafan,XP测试可轻松结束,原理很简单,加壳的原因只是较懒,直接借用Nooby大牛的工具功能罢了)

希望楼主多多指点下我R3的HOOK技巧
ExitProces
 楼主| 发表于 2015-5-30 18:47:22 | 显示全部楼层
蚯蚓翔龙 发表于 2015-5-30 00:00
表示不是全局保护而是全局卡死,在win8上看了下像LoadLibraryEx等这些七字HOOK都在kernel32了,而不是更下 ...

非常抱歉,最近一直在忙ACM,确实时间非常紧迫,真是非常抱歉了,如果有意可以加Q聊
jinfu
发表于 2015-6-9 01:21:17 | 显示全部楼层
运行环境:WindowsXP SP3 32位
1:打开WTool.exe 系统相关-自我保护(SSDT 进程保护)-进程-Process Protected.exe-右键-强制结束

完毕!
ExitProces
 楼主| 发表于 2015-6-9 18:35:01 | 显示全部楼层
jinfu 发表于 2015-6-9 01:21
运行环境:WindowsXP SP3 32位
1:打开WTool.exe 系统相关-自我保护(SSDT 进程保护)-进程-Process Protect ...

如果要讨论R3,请不要牵涉到驱动,好吗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:57 , Processed in 0.087160 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表