任务栏结束杀毒软件进程~·

显示全部楼层 · 发表于 2008-5-1 13:45:38

为什么别的杀软都是提示：“拒绝访问”；
而结束江民的进程却提示“句柄无效”呢？

[ 本帖最后由 jiffy 于 2008-5-1 13:47 编辑 ]

显示全部楼层 · 发表于 2008-5-1 15:34:21

这个……因为结束进程的时候先要使用
NtOpenProcess这个NativeAPI，然后才使用NtTerminateProcess
而NtOpenProcess如果成功，则返回0，否则返回NTSTATUS(也就是错误代码)
江民在hook了NtOpenProcess之后，任务管理其调用NtOpenProcess的过程会进入江民的驱动，当江民的驱动发现是江民的进程，就不会处理这个请求，并且直接返回一个NTSTATUS，只不过不同杀毒软件返回的错误代码是不一样的，这可以人为定义
最终你得到的文本是由Windows中的一张表决定的
NTSTATUS通过RtlNtStatusToDosErrorNoTeb转换为Win32Err，然后再通过GetLastError和wsprintf之类的API进行转译

显示全部楼层 · 发表于 2008-5-1 21:35:13

十分谢谢，原来没有什么区别啊

显示全部楼层 · 发表于 2008-5-2 14:39:30

那微点的内存分配访问无效是怎么弄的,关于自我保护的HOOK 他可一个也没挂.只在Shadow ssdt挂了几个

显示全部楼层 · 发表于 2008-5-2 14:50:29

回LS的,大多数杀软用的是SSDTHOOK,而MP是INLINE HOOK
好比我们要找一家人,大多数杀软是到电信局把那家人的电话号码转到自己头上,而MP是闯入别人家里不许他们接电话而让自己接.
MP是通过修改内核函数头几个字节(jmp XXX)来实现眺转的

显示全部楼层 · 发表于 2008-5-2 15:10:16

明白了

显示全部楼层 · 发表于 2008-5-2 15:23:59

谢谢解答..

显示全部楼层 · 发表于 2008-5-2 15:53:00

学习了！谢谢楼上几位！

显示全部楼层 · 发表于 2008-5-6 10:39:08

原帖由 gankeyu 于 2-5-2008 14:50 发表
回LS的,大多数杀软用的是SSDTHOOK,而MP是INLINE HOOK
好比我们要找一家人,大多数杀软是到电信局把那家人的电话号码转到自己头上,而MP是闯入别人家里不许他们接电话而让自己接.
MP是通过修改内核函数头几个字节(jmp ...

我发现你似乎对于视窗操作系统的一些API函数和HOOK技术很了解。想请教一下，哪儿有关于这方面的书籍卖？

显示全部楼层 · 发表于 2008-5-6 14:04:47

原帖由 gankeyu 于 2008-5-2 14:50 发表
回LS的,大多数杀软用的是SSDTHOOK,而MP是INLINE HOOK
好比我们要找一家人,大多数杀软是到电信局把那家人的电话号码转到自己头上,而MP是闯入别人家里不许他们接电话而让自己接.
MP是通过修改内核函数头几个字节(jmp ...

解答的很精彩~~

微点很强横~~

谢谢~~~

[求助] 任务栏结束杀毒软件进程~·

评分

浏览过的版块