楼主: Deker
收起左侧

[原创工具] PC Hunter V1.56 [2019-01-31] 发布,支持Win10(17763)

  [复制链接]
dl123100
发表于 2009-2-26 23:29:05 | 显示全部楼层
上传录像,由于临时切换到home basic颜色模式,XueTr显示可能看起来不太正常。

录像.part1.rar

976.56 KB, 下载次数: 28

录像.part2.rar

64.84 KB, 下载次数: 23

chenhui530
头像被屏蔽
发表于 2009-2-27 00:02:41 | 显示全部楼层
原帖由 dl123100 于 2009-2-26 23:14 发表
继续反映问题。
473936
XP SP3运行HBKernel后,发现XueTr有时检测数字签名会如上图显示,另卸载HBKernel病毒通过AppInit_Dlls方式加载的模块HBmhly.dll后XueTr会出错退出。
473937
Vista下XueTr会将smss.exe验证 ...


AppInit_Dlls很邪恶,最近也在防这个,测试了几款保险箱都没能成功防范,优先级别很好,有系统user32.dll来完成,试过了Hook KeUserModeCallback有时可以有时不行
DLL ring3注入HOOK肯定不行只能在系统还未初始化完成在第一个线程还没启动前完成HOOK才行,今晚测试终于搞定它了
freesoft00
发表于 2009-2-27 00:09:53 | 显示全部楼层
何不来一个强强联手,软件的开发速度应该更快的
Deker
 楼主| 发表于 2009-2-27 00:10:46 | 显示全部楼层
陈辉大侠  你咋防AppInit_Dlls的

第一个线程都还没起来  你咋防啊

另外海风在我Blog说的 加壳防 是个好思路  不过
我不想加那种壳  不过要自己写代码来防  工作量比较大(我知道的防方法)
chenhui530
头像被屏蔽
发表于 2009-2-27 00:21:52 | 显示全部楼层
我也研究了几天,主要是不能跟踪很麻烦
我试了驱动,试过ring3 hook多种都失败了
如果拦截CreateProcess那时注入都晚了必须在第一个线程还没跑起来拦截才行
因为一跑起来的时候user32.dll已经加载了而且已经调用了LoadLibraryW了那时HOOK其实DLL已经加载了
chenhui530
头像被屏蔽
发表于 2009-2-27 00:26:15 | 显示全部楼层
可以在进程回调里进行HOOK
chenhui530
头像被屏蔽
发表于 2009-2-27 00:26:59 | 显示全部楼层
还有在ImageLoad回调你当加载了kernel32的时候就可以动手了
Deker
 楼主| 发表于 2009-2-27 00:41:16 | 显示全部楼层
学习了
这个东西 我还是暂时不搞了  先改改Bug才
N多Bug堆积了
Deker
 楼主| 发表于 2009-2-27 00:43:46 | 显示全部楼层
Ring3 要防 那个 只能注射Dll  来Hook LoadLibraryEx这类函数
还有就是 对Dll加载消息进行拦截  
用这个方法可以不用驱动  但是需要单独写个Dll来完成这个工作

这个方法在2k xp 2k3上肯定没有问题  但是vista以上系统  我就不知道了 需要测试才知道

[ 本帖最后由 Deker 于 2009-2-27 00:45 编辑 ]
chenhui530
头像被屏蔽
发表于 2009-2-27 00:48:33 | 显示全部楼层
Hook这个 LoadLibraryEx肯定不行的
至少VC编写的程序都不行,我都直接写SHELLCODE不注入DLL注入DLL当你的DLL在加载时那个DLL都已经加载完了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:16 , Processed in 0.102830 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表