挑战“3x3eyes “关于程序自我保护｛攻防｝保护程序倒计时发布

显示全部楼层 · 发表于 2010-4-23 19:42:40

回复 547# liangfangCN

继续墙裂的围观~~~

支持小孩~加油

显示全部楼层 · 发表于 2010-4-23 19:51:23

刚开始想第一个Ring3下结束的方法有些变态..后面有点问题放弃了哈
通过枚举驱动获得ntoskrnl!KeBugCheckEx的地址
然后用DKOM在ntoskrnl!KeBugCheckEx构造一个Apc
然后将Apc的回调函数用DKOM设置为PspExitThread
然后自己实现InsertHeadList给Mj进程插入Apc

难度太大 ..Ring3下问题多多
在没有驱动的地方有点问题就是分配内存
找不到合适的函数
要求是有48字节的空余空间
o(∩_∩)o
后来3x3eyes说只有SSDT HOOK,就不用这方法了..。

显示全部楼层 · 发表于 2010-4-23 19:59:03

回复 552# liangfangCN

保密保密~

显示全部楼层 · 发表于 2010-4-23 19:59:49

越久我胜率越大
RIng3 和 ring0（暂时不用）的方法都想出来了虽然你还没放上程序
3x3eyes 的胜 ...
liangfangCN 发表于 2010-4-23 19:42

好，喜欢你这种心态！真的看好你

显示全部楼层 · 发表于 2010-4-23 20:01:54

等待明天

显示全部楼层 · 发表于 2010-4-23 20:38:01

努力爬楼，偶一定要看现场直播

显示全部楼层 · 发表于 2010-4-23 21:15:45

本帖最后由 xiaojinglf 于 2010-4-23 21:19 编辑

好像搞得很复杂的，是不是360卫士的自保护很强大。
我今天试了一下360文件保护，弄了一个录像，大家看一下有没有问题！

显示全部楼层 · 发表于 2010-4-23 21:22:52

回复 557# xiaojinglf

下再来看看先

显示全部楼层 · 发表于 2010-4-23 21:34:15

回复 557# xiaojinglf
爬楼等待中下来看看

显示全部楼层 · 发表于 2010-4-23 21:38:38

好像搞得很复杂的，是不是360卫士的自保护很强大。
我今天试了一下360文件保护，弄了一个录像，大家看一下 ...
xiaojinglf 发表于 2010-4-23 21:15

巡警那个玩意不加驱动？

[讨论] 挑战“3x3eyes “关于程序自我保护 ｛攻防｝保护程序倒计时发布

[讨论] 挑战“3x3eyes “关于程序自我保护｛攻防｝保护程序倒计时发布