[求助]如何阻止指定程序的运行？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]如何阻止指定程序的运行？

发表于: 2009-11-18 17:36 7905

[求助]如何阻止指定程序的运行？

kalrey

2009-11-18 17:36

7905

想来想去想不到好的方法去阻止一个指定程序的运行，就算人家改可执行文件名也要阻止，真没想到好的方法，不能改动PE文件，也不能在运行起来后再结束，要运行前阻止..
请各位提供点思路，没发现这里有啥固定不变的标记可用来识别该程序，不要特征码的那种啊，谢谢各位了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (26) 1 2 ▶
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 2 楼 md5 . 2009-11-18 17:38 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼 md5改一个字节就过了啊，也不行~ 2009-11-18 18:18 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 4 楼 md5不行，因为人家可能和教主说的一样更改，我只是说我不进行PE文件的更改，别人可以进行教小的改动 2009-11-18 19:29 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼非常不好弄，你们可以参考一下OD为了防Anti所做的工作，虽然Anti很多，大家不都一一搞定了吗？你这个是同样的道理~ 2009-11-18 19:56 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 6 楼关注，我想问下，若是md5的话那如何搞啊？ 2009-11-18 20:12 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼 hook 进程创建函数不行吗？ 2009-11-18 20:22 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 8 楼我原以为这是一个很简单的问题，没想到是个很复杂的问题。。。。 2009-11-18 20:23 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 9 楼所有进程创建都拒绝？还是都放过？如何定位当前的这个将要被创建的进程就是要阻止的那个？这个问题是关键。。。 2009-11-18 20:24 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 10 楼如果是根据MD5来比对的话，那么如教主所说的随便更改一下,MD5就不一样了，那么肯定就没办法定位了 2009-11-18 20:26 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 11 楼楼上的如何做啊。若是md5的，说说大约原理，也要hook的？？对了。系统里的散列就是md5么？ 2009-11-18 21:15 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 12 楼反过来考虑，阻止所有不认识的程序运行。首先默认当前系统的所有可执行文件都是干净的，并且很少更新。记下这些文件的MD5和路径名列表，当有程序运行时检查这个程序是否在这个列表中，不在则阻止（或者提示用户可疑程序运行）。 2009-11-18 21:29 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 13 楼这个让我想到了一个杀毒软件 -微点 2009-11-18 21:46 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 14 楼当有程序运行时检查这个程序是否在这个列表中，不在则阻止（或者提示用户可疑程序运行）。这一步是要怎么监视？就是当有进程运行，但是并没运行起来时，阻止~ 2009-11-19 08:10 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 15 楼进程创建有很多工作要做的，在里面适当位置做判断 2009-11-19 12:45 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 16 楼白名单黑名单对比MD5 2009-11-19 19:48 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 17 楼读取进程文件某部分固定值（不随软件升级更新而变） 2009-11-19 19:50 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 18 楼如何计算MD5值，即使软件更新打补丁不影响MD5值的变化 2009-11-19 19:53 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 19 楼   那你这个MD5太牛了，都失去意义了。。。 2009-11-19 20:25 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 20 楼进程创建前拦截，然后读取某一内存地址，当然这个内存地址里的数据是唯一能够证明就是这个文件的。。 2009-11-19 21:57 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 21 楼计算他的text段的值？ 2009-11-19 22:15 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 22 楼不够6个字 2009-11-20 09:58 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 23 楼 20楼说的跟特征码基本一个道理啊。 2009-11-22 23:07 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 24 楼郁闷，可执行文件的加载过程想不起来了，先回去复习一下再来，闪人睡觉。 2009-11-22 23:12 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 25 楼唯一比较好的方法就是特征码，特殊位置，特殊长度内容的HASH其实也是变形的特征码方案。 2009-11-23 03:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kalrey

发帖

171

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
BeWideWay 雪币： 507 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	BeWideWay 2 楼 md5 . 2009-11-18 17:38 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼 md5改一个字节就过了啊，也不行~ 2009-11-18 18:18 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 4 楼 md5不行，因为人家可能和教主说的一样更改，我只是说我不进行PE文件的更改，别人可以进行教小的改动 2009-11-18 19:29 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼非常不好弄，你们可以参考一下OD为了防Anti所做的工作，虽然Anti很多，大家不都一一搞定了吗？你这个是同样的道理~ 2009-11-18 19:56 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 6 楼关注，我想问下，若是md5的话那如何搞啊？ 2009-11-18 20:12 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼 hook 进程创建函数不行吗？ 2009-11-18 20:22 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 8 楼我原以为这是一个很简单的问题，没想到是个很复杂的问题。。。。 2009-11-18 20:23 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 9 楼所有进程创建都拒绝？还是都放过？如何定位当前的这个将要被创建的进程就是要阻止的那个？这个问题是关键。。。 2009-11-18 20:24 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 10 楼如果是根据MD5来比对的话，那么如教主所说的随便更改一下,MD5就不一样了，那么肯定就没办法定位了 2009-11-18 20:26 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 11 楼楼上的如何做啊。若是md5的，说说大约原理，也要hook的？？对了。系统里的散列就是md5么？ 2009-11-18 21:15 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 12 楼反过来考虑，阻止所有不认识的程序运行。首先默认当前系统的所有可执行文件都是干净的，并且很少更新。记下这些文件的MD5和路径名列表，当有程序运行时检查这个程序是否在这个列表中，不在则阻止（或者提示用户可疑程序运行）。 2009-11-18 21:29 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 13 楼这个让我想到了一个杀毒软件 -微点 2009-11-18 21:46 0
zerostudy 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 153 粉丝 0 关注私信	zerostudy 14 楼当有程序运行时检查这个程序是否在这个列表中，不在则阻止（或者提示用户可疑程序运行）。这一步是要怎么监视？就是当有进程运行，但是并没运行起来时，阻止~ 2009-11-19 08:10 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 15 楼进程创建有很多工作要做的，在里面适当位置做判断 2009-11-19 12:45 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 16 楼白名单黑名单对比MD5 2009-11-19 19:48 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 17 楼读取进程文件某部分固定值（不随软件升级更新而变） 2009-11-19 19:50 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 18 楼如何计算MD5值，即使软件更新打补丁不影响MD5值的变化 2009-11-19 19:53 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 19 楼   那你这个MD5太牛了，都失去意义了。。。 2009-11-19 20:25 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 20 楼进程创建前拦截，然后读取某一内存地址，当然这个内存地址里的数据是唯一能够证明就是这个文件的。。 2009-11-19 21:57 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 21 楼计算他的text段的值？ 2009-11-19 22:15 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 22 楼不够6个字 2009-11-20 09:58 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 23 楼 20楼说的跟特征码基本一个道理啊。 2009-11-22 23:07 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 24 楼郁闷，可执行文件的加载过程想不起来了，先回去复习一下再来，闪人睡觉。 2009-11-22 23:12 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 25 楼唯一比较好的方法就是特征码，特殊位置，特殊长度内容的HASH其实也是变形的特征码方案。 2009-11-23 03:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复