SBIE增强插件微点报马

minimini

各位饭团谁用微点+SBIE组合的？有这问题不？

xiaoyaosanren

微点给力了

麻辣豆腐

没用过。
估计是误报。
support@micropoint.com.cn给微点工作人员分析

sunyinjin

怀念微点。。。


以前用过

minimini

回复 3楼 遇、 的帖子

分析就不用了 开原的
#include <windows.h>

//

typedef void *(*P_SbieDll_Hook)(const char *ApiName, void *ApiFunc, void *NewFunc);

typedef BOOL (*P_DeleteFileW)(const WCHAR *Path);

//

static P_DeleteFileW pDeleteFileW = NULL;

//

static BOOL MyDeleteFileW(const WCHAR *Path)
{
    const WCHAR *dot = wcsrchr(Path, L'.');
    if (dot && _wcsicmp(dot, L".txt") == 0) {
        MessageBoxW(NULL, Path, L"Intercepted", MB_OK);
        SetLastError(0);
        return TRUE;
    } else
        return pDeleteFileW(Path);
}

//

BOOL WINAPI DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)
{
    if (dwReason == DLL_PROCESS_ATTACH) {

        MessageBoxW(NULL, L"Started", L"InjDll", MB_OK);
    }

    if (dwReason == DLL_PROCESS_ATTACH) {

        HMODULE SbieDll = GetModuleHandleW(L"SbieDll.dll");
        P_SbieDll_Hook SbieDll_Hook = (P_SbieDll_Hook)
                    GetProcAddress(SbieDll, "_SbieDll_Hook@12");

        HMODULE Kernel32 = GetModuleHandleW(L"Kernel32.dll");
        pDeleteFileW = (P_DeleteFileW)
                    GetProcAddress(Kernel32, "DeleteFileW");

        pDeleteFileW = SbieDll_Hook("DeleteFile",
                                    pDeleteFileW,
                                    MyDeleteFileW);
    }

    return TRUE;
}

laoxie1hao

回复 5楼 minimini 的帖子

微点主防的要求较严格 报未知比较多 楼主可以自己分析 是否信任或上报

minimini

laoxie1hao 发表于 2011-2-28 18:01
回复 5楼 minimini 的帖子

微点主防的要求较严格 报未知比较多 楼主可以自己分析 是否信任或上报

信任

生命在于运动

上报微点看看

尔等如此无情丶

建|议|先|加|入|信|任|。
将|文|件|压|缩|后|上|报|至|support@micropoint.com.cn

-oAo-

minimini 发表于 2011-2-28 17:18
各位饭团谁用微点+SBIE组合的？有这问题不？

上报微点