首页
社区
课程
招聘
[讨论]只要你能把程序给杀了或挂起了,就算你NB
发表于: 2009-11-8 21:32 31322

[讨论]只要你能把程序给杀了或挂起了,就算你NB

2009-11-8 21:32
31322
原文地址:http://www.zy995.com/bbs/dispbbs.asp?boardid=153&Id=3736

挑战网吧高手,欢迎破坏!!!!!!!!!!!!!!!!!!!!!!

   左轮计费软件即将推出. 绿色超小无需安装(客户端1个exe,服务端包含数据库在内2个文件)
在正式推出之前,麻烦大家帮忙测试一下计费客户端的自我保护能力
  一个demo小程序,使用了跟计费客户端同样的保护手段.
测试方法: 欢迎用任意手段和工具对测试程序 杀进程 挂线程 内存填充垃圾 卸载dll模块等各种你能想到手段.
   只要你能把程序给杀了或挂起了,就算你NB

   目前测试环境只支持XP(SP2 SP3),程序用了驱动保护,如果有防火墙拦截,请放行.

下载:  http://wt.zy995.com/protectme.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (61)
雪    币: 773
活跃值: (442)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
2
没有SP2 ,不过 恢复下你的HOOK 不就行了,应该问题不大吧
2009-11-8 21:37
0
雪    币: 750
活跃值: (228)
能力值: ( LV9,RANK:780 )
在线值:
发帖
回帖
粉丝
3
呵呵,试试看呗
2009-11-8 21:46
0
雪    币: 1407
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
稳定性不行啊 一结束就蓝
ntoskrn1.exe。。。 有点囧
2009-11-8 21:53
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
5
本来准备调试一下的,拖到IDA一看,没有动态调试的必要了...
作者吹的比较凶,于是大致看了下:

(1)_Ioctl_222010_ModifyThreadFlag_
古老的DKOM的方式; 通过PsTerminateSystemThread得到thread cross thread flags的偏移,修改之

(2)_Ioctl_222014_StartProtect_
Hook_MiUnmapViewOfSection() - 防止卸载被保护进程的模块
Hook_PsSuspendThread() - 防止进程被挂起
Hook_KiInsertQueueApc() - 防插APC
Hook_MmCopyVirtualMemory() - 防止写被保护进程内存(对csrss.exe放行,仅通过进程短名判断,雷~)

对以上4个函数的HOOK均通过硬编码寻址得到常规API的下层未导出函数地址,而后进行5~7字节替换.
过滤函数非常简单,比较是否是受保护的PID,EPROCESS.

ProcessNotifyRoutine,ThreadNotifyRoutine,发现自己的进程/线程不是正常结束,就INT 3; 流氓一个.

创建了2个系统线程,处理R3传来的数据包,有个等待事件,没仔细看;

(3)_Ioctl_222018_Test_Int3_测试用

(4) SSDT, Shadow SSDT HOOK
太古老就不多说了.

---------------------------------------------------------

搞它的方法太多了,分析结果在这儿摆着,想练手的自行解决.附件IDB,没加注释
上传的附件:
2009-11-8 23:49
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
6
没有防ZwSystemDebugControl
好像suspendthread用的pid判断的
用ZwSystemDebugControl对驱动的偏移6A9C(g_Protected_PID)处写0
2009-11-9 00:05
0
雪    币: 108
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
真有不怕死的啊 哈哈
2009-11-9 03:00
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
8
前来围观~~
2009-11-9 08:18
0
雪    币: 284
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
不明真相的群众前来围观~
膜拜教主大牛
2009-11-9 08:47
0
雪    币: 326
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
围观一下#.#
2009-11-9 08:49
0
雪    币: 290
活跃值: (20)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
测试了只会蓝屏
2009-11-9 10:02
0
雪    币: 367
活跃值: (20)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
12
不杀不挂,但去保护功能,
PS:网吧有必要这样子的防护么?N年没去过网吧了,难道现在去网吧的人都是玩调试器的么?
2009-11-9 10:09
0
雪    币: 247
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
先恢复createthread、createprocess两个回调,结束或者挂起ntoskrn1.exe这两个系统线程,再恢复一两个钩子,就可以随便弄了,已经测试
2009-11-9 11:47
0
雪    币: 266
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
呵呵,明文放出来,还是很多人看的懂的。
2009-11-9 12:49
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
15
我去网吧是调试病毒的,专门调试ARP之类的东西~
OD加起来,爽死,跑飞也没事~
2009-11-9 14:53
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
16
这个东西好早以前我们就收到了,装上360,再运行这个,然后用任务管理器,直接结束。
2009-11-9 15:03
0
雪    币: 269
活跃值: (25)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
17
只要能加载驱动,似乎就没有解决不了的进程。。。
2009-11-9 15:42
0
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
18
这东西我前些天刚看过.
sudami分析的好全.
2009-11-9 16:00
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
19
简单恢复了下,直接结束之!
2009-11-9 16:36
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
20
我直接 恢复了createthread  然后就可以随意搞他了
2009-11-9 16:37
0
雪    币: 244
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
MJ0011说得对。360下,直接任务管理器了。。。
2009-11-9 17:31
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
前来围观,还是满热闹的嘛!
2009-11-9 19:18
0
雪    币: 564
活跃值: (42)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
23
不想下载看看,,只想围观。。。。。
2009-11-9 20:23
0
雪    币: 1632
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
什么东西啊就在那吹牛,直接被大牛拍死。
2009-11-9 20:36
0
雪    币: 227
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
不明真相的群众围观
2009-11-9 22:44
0
游客
登录 | 注册 方可回帖
返回
//