[求助][求助]关于windows采用patchguard后的疑问？？？？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
OrochiZ 雪币： 113 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 77 粉丝 0 关注私信	OrochiZ 2 楼交钱给微软就可以Pass 2012-9-6 11:43 0
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 3 楼用回调函数监控，不可能有hook 2012-9-6 11:44 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 4 楼难道监控一定要HOOK么？进程创建终止PsSetCreateProcessNotifyRoutine，注册表监控CmRegisterCallback，DLL加载：PsSetLoadImageNotifyRoutine，文件监控:minifilter,sfilter，网络监控ndis,tdi,wfp,spi。磁盘数据监控:diskperf，等等等等。 2012-9-6 11:45 0
lmmir 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 46 粉丝 0 关注私信	lmmir 5 楼比如你要主动终止进程 PsSetCreateProcessNotifyRoutine 貌似只能知道进程创建和结束但不能去主动终止进程吧？ 2012-9-6 14:11 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 6 楼主动终止？终止进程是用HOOK解决的？终止进程你依然可以获取底层的各种未导出函数去实现终止操作，跟HOOK没关系吧 2012-9-6 14:51 0
lmmir 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 46 粉丝 0 关注私信	lmmir 7 楼我的意思是比如用户打开 notepad.exe ，内核模式下怎么阻止用户打开notepad.exe呢？ 2012-9-6 15:08 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 8 楼 ObRegisterCallbacks PsSetCreateProcessNotifyRoutine 能阻止打开，比如你拦截到进程打开操作，可是想拦截，你可以这个时候去OpenProcess，然后TerminateProcess。或者你用PsSetLoadImageNotifyRoutine，加载EXE的时候，拿到EXE影像，你改里边的代码，EXE就启动不了不是什么都要靠微软提供相应接口，要不然还要程序干什么，需要什么找接口就是啦，需要个360安全卫士，就看看微软有没有360安全卫士的接口，一调出现了。很多时候，微软的接口不能刚刚满足需求，就需要我们去想办法处理，上面就是个例子，微软没说这个可以拦截进程，但是你想想，其实还是有没办法的嘛。 2012-9-6 15:16 0
lmmir 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 46 粉丝 0 关注私信	lmmir 9 楼受教了，谢谢哈哈能私信你的QQ 给我不哈哈 2012-9-6 17:19 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 10 楼你加我的QQ群吧，哈哈，我是群主：119354668（文件过滤驱动） 2012-9-6 17:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
OrochiZ 雪币： 113 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 77 粉丝 0 关注私信	OrochiZ 2 楼交钱给微软就可以Pass 2012-9-6 11:43 0
cxthl 雪币： 249 活跃值： (71) 能力值： ( LV7，RANK：100 ) 在线值：发帖 14 回帖 120 粉丝 0 关注私信	cxthl 2 3 楼用回调函数监控，不可能有hook 2012-9-6 11:44 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 4 楼难道监控一定要HOOK么？进程创建终止PsSetCreateProcessNotifyRoutine，注册表监控CmRegisterCallback，DLL加载：PsSetLoadImageNotifyRoutine，文件监控:minifilter,sfilter，网络监控ndis,tdi,wfp,spi。磁盘数据监控:diskperf，等等等等。 2012-9-6 11:45 0
lmmir 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 46 粉丝 0 关注私信	lmmir 5 楼比如你要主动终止进程 PsSetCreateProcessNotifyRoutine 貌似只能知道进程创建和结束但不能去主动终止进程吧？ 2012-9-6 14:11 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 6 楼主动终止？终止进程是用HOOK解决的？终止进程你依然可以获取底层的各种未导出函数去实现终止操作，跟HOOK没关系吧 2012-9-6 14:51 0
lmmir 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 46 粉丝 0 关注私信	lmmir 7 楼我的意思是比如用户打开 notepad.exe ，内核模式下怎么阻止用户打开notepad.exe呢？ 2012-9-6 15:08 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 8 楼 ObRegisterCallbacks PsSetCreateProcessNotifyRoutine 能阻止打开，比如你拦截到进程打开操作，可是想拦截，你可以这个时候去OpenProcess，然后TerminateProcess。或者你用PsSetLoadImageNotifyRoutine，加载EXE的时候，拿到EXE影像，你改里边的代码，EXE就启动不了不是什么都要靠微软提供相应接口，要不然还要程序干什么，需要什么找接口就是啦，需要个360安全卫士，就看看微软有没有360安全卫士的接口，一调出现了。很多时候，微软的接口不能刚刚满足需求，就需要我们去想办法处理，上面就是个例子，微软没说这个可以拦截进程，但是你想想，其实还是有没办法的嘛。 2012-9-6 15:16 0
lmmir 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 46 粉丝 0 关注私信	lmmir 9 楼受教了，谢谢哈哈能私信你的QQ 给我不哈哈 2012-9-6 17:19 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 10 楼你加我的QQ群吧，哈哈，我是群主：119354668（文件过滤驱动） 2012-9-6 17:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复