|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
本来准备调试一下的,拖到IDA一看,没有动态调试的必要了...
作者吹的比较凶,于是大致看了下: (1)_Ioctl_222010_ModifyThreadFlag_ 古老的DKOM的方式; 通过PsTerminateSystemThread得到thread cross thread flags的偏移,修改之 (2)_Ioctl_222014_StartProtect_ Hook_MiUnmapViewOfSection() - 防止卸载被保护进程的模块 Hook_PsSuspendThread() - 防止进程被挂起 Hook_KiInsertQueueApc() - 防插APC Hook_MmCopyVirtualMemory() - 防止写被保护进程内存(对csrss.exe放行,仅通过进程短名判断,雷~) 对以上4个函数的HOOK均通过硬编码寻址得到常规API的下层未导出函数地址,而后进行5~7字节替换. 过滤函数非常简单,比较是否是受保护的PID,EPROCESS. ProcessNotifyRoutine,ThreadNotifyRoutine,发现自己的进程/线程不是正常结束,就INT 3; 流氓一个. 创建了2个系统线程,处理R3传来的数据包,有个等待事件,没仔细看; (3)_Ioctl_222018_Test_Int3_测试用 (4) SSDT, Shadow SSDT HOOK 太古老就不多说了. --------------------------------------------------------- 搞它的方法太多了,分析结果在这儿摆着,想练手的自行解决.附件IDB,没加注释 
|
|
|
没有防ZwSystemDebugControl
 好像suspendthread用的pid判断的 用ZwSystemDebugControl对驱动的偏移6A9C(g_Protected_PID)处写0 |
|
|
|
|
|
|
|
|
不明真相的群众前来围观~
膜拜教主大牛 
|
|
|
|
|
|
|
|
|
不杀不挂,但去保护功能,
 PS:网吧有必要这样子的防护么?N年没去过网吧了,难道现在去网吧的人都是玩调试器的么? |
|
|
先恢复createthread、createprocess两个回调,结束或者挂起ntoskrn1.exe这两个系统线程,再恢复一两个钩子,就可以随便弄了,已经测试
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
