[求助]求解决思路：避开驱动的createprocess回调-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 2 楼或许写个程序自己加载QQ就行，不是CreateProcess哈，是分配内存，复制区段，填IAT什么的 2013-1-21 18:53 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 3 楼分析worker.exe 思路一：既然伪造进程名无用，说明worker中还有其他方式向驱动确认自己的存在，分析这些途径，自己伪造进程欺骗驱动。思路二：分析worker中你不希望进行的行为的代码，patch它，让他不执行这些代码。这2者想要恢复成初始状态都很简单，一个是自己退出并执行原始worker.exe，第二个终止patch过的worker的运行并执行原始worker.exe 2013-1-21 20:53 0
狂男风雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	狂男风 4 楼请详述这是一种什么运行方式？汇编吗？不好意思，我只会一些抽象程度比较高的语言。 2013-2-4 15:22 0
狂男风雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	狂男风 5 楼谢谢解答，经过尝试，发现worker.exe还有MD5完整性校验，我实在是才疏学浅，觉得破解完整性校验实在是太难了，patch的思路就行不通了。而思路一很有价值，只是分析了worker.exe发现其并没有调用驱动，因此驱动得到进程的信息就全凭createprocess回调了，请问从createprocess回调中除了能得到进程名，还能得到进程的其他什么（具有唯一特性的）信息？ 2013-2-4 15:42 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 6 楼一切信息，包括驱动中对exe重新md5计算之类的。 2013-2-4 21:56 0
午夜嚎叫雪币： 115 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	午夜嚎叫 7 楼有个管理软件禁止运行QQ等程序，我总觉得是绑定或改写某底层DLL引起。借鉴还原精灵模式，穿了她。 2013-2-4 22:18 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 8 楼线程注入到worker中,hook NtQuerySystemInformation 2013-2-5 10:08 0
r张皓雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	r张皓 9 楼感觉分析 worker 比较靠谱，看下worker 跟驱动是怎么通信的，一般大多数的驱动通信都不加密，之后你可以伪造worker发送命令到驱动来PASS。 2013-2-5 13:32 0
SinCoder 雪币： 11 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	SinCoder 10 楼本地导入证书就行了吧没必要买签名 2013-10-12 10:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 2 楼或许写个程序自己加载QQ就行，不是CreateProcess哈，是分配内存，复制区段，填IAT什么的 2013-1-21 18:53 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 3 楼分析worker.exe 思路一：既然伪造进程名无用，说明worker中还有其他方式向驱动确认自己的存在，分析这些途径，自己伪造进程欺骗驱动。思路二：分析worker中你不希望进行的行为的代码，patch它，让他不执行这些代码。这2者想要恢复成初始状态都很简单，一个是自己退出并执行原始worker.exe，第二个终止patch过的worker的运行并执行原始worker.exe 2013-1-21 20:53 0
狂男风雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	狂男风 4 楼请详述这是一种什么运行方式？汇编吗？不好意思，我只会一些抽象程度比较高的语言。 2013-2-4 15:22 0
狂男风雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	狂男风 5 楼谢谢解答，经过尝试，发现worker.exe还有MD5完整性校验，我实在是才疏学浅，觉得破解完整性校验实在是太难了，patch的思路就行不通了。而思路一很有价值，只是分析了worker.exe发现其并没有调用驱动，因此驱动得到进程的信息就全凭createprocess回调了，请问从createprocess回调中除了能得到进程名，还能得到进程的其他什么（具有唯一特性的）信息？ 2013-2-4 15:42 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 6 楼一切信息，包括驱动中对exe重新md5计算之类的。 2013-2-4 21:56 0
午夜嚎叫雪币： 115 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	午夜嚎叫 7 楼有个管理软件禁止运行QQ等程序，我总觉得是绑定或改写某底层DLL引起。借鉴还原精灵模式，穿了她。 2013-2-4 22:18 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 8 楼线程注入到worker中,hook NtQuerySystemInformation 2013-2-5 10:08 0
r张皓雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	r张皓 9 楼感觉分析 worker 比较靠谱，看下worker 跟驱动是怎么通信的，一般大多数的驱动通信都不加密，之后你可以伪造worker发送命令到驱动来PASS。 2013-2-5 13:32 0
SinCoder 雪币： 11 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	SinCoder 10 楼本地导入证书就行了吧没必要买签名 2013-10-12 10:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]求解决思路：避开驱动的createprocess回调 0.00雪花