首页
社区
课程
招聘
[求助]如何阻止指定程序的运行?
发表于: 2009-11-18 17:36 7999

[求助]如何阻止指定程序的运行?

2009-11-18 17:36
7999
想来想去想不到好的方法去阻止一个指定程序的运行,就算人家改可执行文件名也要阻止,真没想到好的方法,不能改动PE文件,也不能在运行起来后再结束,要运行前阻止..
           请各位提供点思路,没发现这里有啥固定不变的标记可用来识别该程序,不要特征码的那种啊,谢谢各位了

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (26)
雪    币: 507
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
md5

.
2009-11-18 17:38
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
3
md5改一个字节就过了啊,也不行~
2009-11-18 18:18
0
雪    币: 146
活跃值: (33)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
4
md5不行,因为人家可能和教主说的一样更改,我只是说我不进行PE文件的更改,别人可以进行教小的改动
2009-11-18 19:29
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
5
非常不好弄,你们可以参考一下OD为了防Anti所做的工作,虽然Anti很多,大家不都一一搞定了吗?你这个是同样的道理~
2009-11-18 19:56
0
雪    币: 202
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
关注,我想问下,若是md5的话那如何搞啊?
2009-11-18 20:12
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
7
hook 进程创建函数不行吗?
2009-11-18 20:22
0
雪    币: 146
活跃值: (33)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
8
我原以为这是一个很简单的问题,没想到是个很复杂的问题。。。。
2009-11-18 20:23
0
雪    币: 146
活跃值: (33)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
9
所有进程创建都拒绝?还是都放过?
如何定位当前的这个将要被创建的进程就是要阻止的那个?这个问题是关键。。。
2009-11-18 20:24
0
雪    币: 146
活跃值: (33)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
10
如果是根据MD5来比对的话,那么如教主所说的随便更改一下,MD5就不一样了,那么肯定就没办法定位了
2009-11-18 20:26
0
雪    币: 202
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
楼上的如何做啊。若是md5的,说说大约原理,也要hook的??
对了。系统里的散列就是md5么?
2009-11-18 21:15
0
雪    币: 296
活跃值: (89)
能力值: ( LV15,RANK:340 )
在线值:
发帖
回帖
粉丝
12
反过来考虑,阻止所有不认识的程序运行。
首先默认当前系统的所有可执行文件都是干净的,并且很少更新。记下这些文件的MD5和路径名列表,当有程序运行时检查这个程序是否在这个列表中,不在则阻止(或者提示用户可疑程序运行)。
2009-11-18 21:29
0
雪    币: 750
活跃值: (228)
能力值: ( LV9,RANK:780 )
在线值:
发帖
回帖
粉丝
13
这个让我想到了一个杀毒软件 -微点
2009-11-18 21:46
0
雪    币: 202
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
当有程序运行时检查这个程序是否在这个列表中,不在则阻止(或者提示用户可疑程序运行)。
这一步是要怎么监视?就是当有进程运行,但是并没运行起来时,阻止~
2009-11-19 08:10
0
雪    币: 146
活跃值: (33)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
15
进程创建有很多工作要做的,在里面适当位置做判断
2009-11-19 12:45
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
16
白名单黑名单对比MD5
2009-11-19 19:48
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
17
读取进程文件某部分固定值(不随软件升级 更新而变)
2009-11-19 19:50
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
18
如何计算MD5值,即使软件更新打补丁不影响MD5值的变化
2009-11-19 19:53
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
19


那你这个MD5太牛了,都失去意义了。。。
2009-11-19 20:25
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
20
  进程创建前拦截,然后读取某一内存地址,当然这个内存地址里的数据是唯一能够证明就是这个文件的。。
2009-11-19 21:57
0
雪    币: 254
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
计算他的text段的值?
2009-11-19 22:15
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
22
不够6个字
2009-11-20 09:58
0
雪    币: 280
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
20楼说的跟特征码基本一个道理啊。
2009-11-22 23:07
0
雪    币: 280
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
郁闷,可执行文件的加载过程想不起来了,先回去复习一下再来,闪人睡觉。
2009-11-22 23:12
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
25
唯一比较好的方法就是特征码,特殊位置,特殊长度内容的HASH其实也是变形的特征码方案。
2009-11-23 03:03
0
游客
登录 | 注册 方可回帖
返回
//