[原创]上个自写的驱动,进程启动限制工具.什么ring0到ring3通信,什么驱动壳,一切皆浮云.(更新了一点点..)-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]上个自写的驱动,进程启动限制工具.什么ring0到ring3通信,什么驱动壳,一切皆浮云.(更新了一点点..)

发表于: 2010-11-14 18:28 16777

[原创]上个自写的驱动,进程启动限制工具.什么ring0到ring3通信,什么驱动壳,一切皆浮云.(更新了一点点..)

nonoxx

2010-11-14 18:28

16777

嘛,MASM32汇编编写,通用32位xp/2003/vista/win7
先上软件运行效果图. 在VM里面的XPSP3跑的.

源代码嘛,全是MASM32汇编写的,这个直接逆向看吧,差不多的.不过根据我个人喜好写了个简单的壳包进去了,花指令什么的为了方便你们调试我就不加进去了.很容易搞掉的.嗯.大家拿来练手好了.. 哦,忘记了.技术介绍.
这个程序其实很简单,驱动对系统的主进入调用HOOK,然后判断进程建立函数,之后处理.意思是我把系统所有的函数调用全HOOK掉了,危险技术,嘻嘻.小心使用(也就加了几个转跳,不影响系统速度的.),对RING3下的两个进程做出保护,一旦修改RING3或者RING0驱动代码中的任意一字节,软件就失效.会不再限制进程启动.我写了自校验.(严重的会蓝屏,尽量用虚拟机搞吧.),利用驱动保护RING3的应用程序. 其实我对游戏的保护感兴趣,哈哈..有没公司肯高价聘请我呢?
程序在附件,..所有用户进程启动都会提示是否启动的.打开软件即加载驱动,软件内完全退出,驱动就卸载了.规则那些也能使用的.点右下角那小图标就出现个设置画面了.

各位能调试到的大虾.请尽量调试后回来回复调试的感想和您的宝贵意见.谢谢哈.
调试不了或者修改不了没关系,拿来当安全软件用用也不错的(服务进程可不限制哦).

程序里面有我的联系MSN- -!``

程序:
xxlock 1.1.rar

稍微更新一下吧.用个新点.想不到SP2回有细微差别,来个更通用的.
加上上一版本的.这东西稳定性来说还算不错.(有人下载不过没人回复说报错了,也就是都能正常跑起)
我决定把驱动修改成64位的看看.(怀念C++了.改个编译选项就可以.)
有点自虐倾向.不过这段时间也够闲的.改成的话再来发个..32位驱动修改成64位历程.

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

1.jpg （72.92kb，1033次下载）
2.jpg （33.07kb，1028次下载）
xxlock 1.1.rar （9.07kb，113次下载）

收藏・6

免费・0

支持

最新回复 (24)
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 2 楼 **，虽然我在看学混了这么久，还是没有拿得出手的作品。 2010-11-14 19:28 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 3 楼估计楼主的运行也会卡死explorer, 2010-11-15 10:14 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 4 楼是不会的..当然你双击打开进程,它使用explorer执行程序当然锁住该进程等待你的选择啦.不止是explorer,是所有调用createprocess的进程都会锁定等待选择.并没使用注入技术,是对系统内核做了修改 2010-11-15 13:12 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 5 楼这白菜多少钱一斤，卖了几年菜了 2010-11-15 13:14 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 6 楼 - -..免费大赠送,也就卖了两三年. 话说意义不明啊.. 2010-11-15 13:37 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 7 楼好玩~~~~.... 直接就蓝了 xp sp3虚拟机 2010-11-15 13:48 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 8 楼能贴个错误我看吗? 谢谢..不过如果修改掉文件后启动或者调试着修改了内存启动它的话- - 蓝的可能很高哦..自校验嘛.. 直接打开就蓝的话把蓝的错误代码贴上来我看看哪写错了,,非常感谢``` 2010-11-15 22:22 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 9 楼 STACK_TEXT: WARNING: Stack unwind information not available. Following frames may be wrong. f8af9d4c 8057665f 00000b64 00000001 00000000 xxlock+0x1014 f8af9d74 80534dd0 00000b64 00000000 825b73c8 nt+0x9e65f f8af9dac 805c5a28 b29fccf4 00000000 00000000 nt+0x5cdd0 f8af9ddc 80541fa2 80534cd0 00000001 00000000 nt+0xeda28 00000000 00000000 00000000 00000000 00000000 nt+0x69fa2 STACK_COMMAND: kb FOLLOWUP_IP: xxlock+1014 f8a13014 8138648b1d1c cmp dword ptr [eax],1C1D8B64h Mini111510-02.rar 上传的附件： Mini111510-02.rar （13.69kb，12次下载） 2010-11-16 09:33 0
skypismire 雪币： 75 活跃值： (688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 10 楼限制进程运行。。用PsSetCreateProcessNotifyRoutine之流岂不是更爽 2010-11-16 10:08 0
nomaster 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	nomaster 11 楼界面还敢再丑点么？ 2010-11-16 11:23 0
nowhy 雪币： 21 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	nowhy 12 楼汗.....界面.. 2010-11-16 18:14 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 13 楼哈哈.又不是商业软件,界面什么的我随便写写就好. 内涵才是主题,定点和保护...顺便回答10L- -.如果用那些流的话就难展示出进程保护部分了,所以.进程限制只是附加的东西.其实还写了个文件过滤部分的,用来隐藏那驱动文件.不过由于WIN7的关系所以删了那部分代码. 2010-11-16 18:22 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 14 楼 Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Built by: 2600.xpsp_sp2_rtm.040803-2158 我.....原来sp2的内核有差别?..我搞一个XP SP2看看...定点不到这里还真是我预料之外的...谢谢了,我改个新定点去更新下它.. 2010-11-16 18:51 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 15 楼楼主好像发现了很大陆，很兴奋 2010-11-16 20:59 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 16 楼还好吧,话说怎么那个下载的人多就没几个来发发调试后感想呢- -? 我需要那些..帮帮忙吧.大家.(换个新的.让内核定位更通用.嘻嘻) 2010-11-17 10:06 0
枫叶飘雪币： 37 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 191 粉丝 0 关注私信	枫叶飘 17 楼下载，然后调试，感觉自己是小白鼠 2010-11-17 10:25 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 18 楼楼主好兴奋，下载下来看看。用masm32写程序难道不累吗？ 2010-11-17 11:53 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 19 楼汇编比C自由嘛- -.特别是重定位....也有因为一个段寄存器引用写错接着莫名其妙的错误搞了1小时差点砸掉笔记本的..写习惯了就不累了... 至于小白鼠嘛.. 当是帮忙加调试下增进技术.... TX...拿去使用也行的..虽然不知道用来干嘛.. 2010-11-17 12:30 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 20 楼看你那兴奋的心情，实在不忍心打击你，好像发现了什么新大陆一样。。。。。。你这个东西漏洞太多了，挂钩了3个函数NtOpenProcess NtCreateProcess NtCreateProcessEx 1，其中NtOpenProcess禁止打开xxlock的两个进程，方法只是简单比较PID，有两种方法来bypass，一种pid+1调用OpenProcess，别外一种DupicateHandle 2，还有xxpath.xxx也没什么保护措施，自己改改就能加黑白名单了(id+文件名+禁止还是允许？) 3，代码校验，xxlock+0x1b29 Patch7个字节就bypass了(909090909090EB) 2010-11-17 13:52 0
fitmaster 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fitmaster 21 楼看看在说！我 2010-11-17 22:01 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 22 楼全中..不过这个只是最简单级的.现在看来可行性还是OK..关键HOOK系统入口函数在不同系统下并没出现问题,这样就够了.毕竟只有我自己一个去测试调试是不够的.我只需要那里的入口控制和通信方式去做我想做的东西.其它嘛.全是个人兴趣加进去的. 2010-11-17 22:24 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 23 楼大家自由发言不要打击新手的积极性 2011-1-6 14:50 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 24 楼呵呵，先顶了，汇编不怎么会 2011-1-6 18:58 0
overdb 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 35 粉丝 0 关注私信	overdb 25 楼哎，，新大陆终于被楼主发现了，就来几个HOOK ，就出一切都是浮云，，搞的NB XX的 2011-1-10 16:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nonoxx

发帖

116

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 2 楼 **，虽然我在看学混了这么久，还是没有拿得出手的作品。 2010-11-14 19:28 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 3 楼估计楼主的运行也会卡死explorer, 2010-11-15 10:14 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 4 楼是不会的..当然你双击打开进程,它使用explorer执行程序当然锁住该进程等待你的选择啦.不止是explorer,是所有调用createprocess的进程都会锁定等待选择.并没使用注入技术,是对系统内核做了修改 2010-11-15 13:12 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 5 楼这白菜多少钱一斤，卖了几年菜了 2010-11-15 13:14 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 6 楼 - -..免费大赠送,也就卖了两三年. 话说意义不明啊.. 2010-11-15 13:37 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 7 楼好玩~~~~.... 直接就蓝了 xp sp3虚拟机 2010-11-15 13:48 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 8 楼能贴个错误我看吗? 谢谢..不过如果修改掉文件后启动或者调试着修改了内存启动它的话- - 蓝的可能很高哦..自校验嘛.. 直接打开就蓝的话把蓝的错误代码贴上来我看看哪写错了,,非常感谢``` 2010-11-15 22:22 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 9 楼 STACK_TEXT: WARNING: Stack unwind information not available. Following frames may be wrong. f8af9d4c 8057665f 00000b64 00000001 00000000 xxlock+0x1014 f8af9d74 80534dd0 00000b64 00000000 825b73c8 nt+0x9e65f f8af9dac 805c5a28 b29fccf4 00000000 00000000 nt+0x5cdd0 f8af9ddc 80541fa2 80534cd0 00000001 00000000 nt+0xeda28 00000000 00000000 00000000 00000000 00000000 nt+0x69fa2 STACK_COMMAND: kb FOLLOWUP_IP: xxlock+1014 f8a13014 8138648b1d1c cmp dword ptr [eax],1C1D8B64h Mini111510-02.rar 上传的附件： Mini111510-02.rar （13.69kb，12次下载） 2010-11-16 09:33 0
skypismire 雪币： 75 活跃值： (688) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 10 楼限制进程运行。。用PsSetCreateProcessNotifyRoutine之流岂不是更爽 2010-11-16 10:08 0
nomaster 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	nomaster 11 楼界面还敢再丑点么？ 2010-11-16 11:23 0
nowhy 雪币： 21 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	nowhy 12 楼汗.....界面.. 2010-11-16 18:14 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 13 楼哈哈.又不是商业软件,界面什么的我随便写写就好. 内涵才是主题,定点和保护...顺便回答10L- -.如果用那些流的话就难展示出进程保护部分了,所以.进程限制只是附加的东西.其实还写了个文件过滤部分的,用来隐藏那驱动文件.不过由于WIN7的关系所以删了那部分代码. 2010-11-16 18:22 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 14 楼 Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Built by: 2600.xpsp_sp2_rtm.040803-2158 我.....原来sp2的内核有差别?..我搞一个XP SP2看看...定点不到这里还真是我预料之外的...谢谢了,我改个新定点去更新下它.. 2010-11-16 18:51 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 15 楼楼主好像发现了很大陆，很兴奋 2010-11-16 20:59 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 16 楼还好吧,话说怎么那个下载的人多就没几个来发发调试后感想呢- -? 我需要那些..帮帮忙吧.大家.(换个新的.让内核定位更通用.嘻嘻) 2010-11-17 10:06 0
枫叶飘雪币： 37 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 191 粉丝 0 关注私信	枫叶飘 17 楼下载，然后调试，感觉自己是小白鼠 2010-11-17 10:25 0
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 21 回帖 311 粉丝 3 关注私信	accessd 2 18 楼楼主好兴奋，下载下来看看。用masm32写程序难道不累吗？ 2010-11-17 11:53 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 19 楼汇编比C自由嘛- -.特别是重定位....也有因为一个段寄存器引用写错接着莫名其妙的错误搞了1小时差点砸掉笔记本的..写习惯了就不累了... 至于小白鼠嘛.. 当是帮忙加调试下增进技术.... TX...拿去使用也行的..虽然不知道用来干嘛.. 2010-11-17 12:30 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 20 楼看你那兴奋的心情，实在不忍心打击你，好像发现了什么新大陆一样。。。。。。你这个东西漏洞太多了，挂钩了3个函数NtOpenProcess NtCreateProcess NtCreateProcessEx 1，其中NtOpenProcess禁止打开xxlock的两个进程，方法只是简单比较PID，有两种方法来bypass，一种pid+1调用OpenProcess，别外一种DupicateHandle 2，还有xxpath.xxx也没什么保护措施，自己改改就能加黑白名单了(id+文件名+禁止还是允许？) 3，代码校验，xxlock+0x1b29 Patch7个字节就bypass了(909090909090EB) 2010-11-17 13:52 0
fitmaster 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fitmaster 21 楼看看在说！我 2010-11-17 22:01 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 22 楼全中..不过这个只是最简单级的.现在看来可行性还是OK..关键HOOK系统入口函数在不同系统下并没出现问题,这样就够了.毕竟只有我自己一个去测试调试是不够的.我只需要那里的入口控制和通信方式去做我想做的东西.其它嘛.全是个人兴趣加进去的. 2010-11-17 22:24 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 23 楼大家自由发言不要打击新手的积极性 2011-1-6 14:50 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 24 楼呵呵，先顶了，汇编不怎么会 2011-1-6 18:58 0
overdb 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 35 粉丝 0 关注私信	overdb 25 楼哎，，新大陆终于被楼主发现了，就来几个HOOK ，就出一切都是浮云，，搞的NB XX的 2011-1-10 16:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复