首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
anti trick Ⅰ -- OpenProcess
发表于: 2005-9-13 21:10 7567

anti trick Ⅰ -- OpenProcess

Immlep 活跃值
11
2005-9-13 21:10
7567
Site:www.ptteam.com
by 来自轻院的狼[Immlep]

最近想写一些关于Anti的文章,可是没有什么时间,下面的文章写的比较粗糙,如果有什么问题,希望大家指导指导,谢谢!!!

可能由于DebugAPI的缘故,当一个程序被Ring3调试器调试(Ollydbg等)时,它的权限会提升,本来它是不可以使用OpenProcess打开一些系统进程的,不过如果它被调试的话,它就可以OpenProcess打系统进程,因此我们可以借助这一点来反Ollydbg等,我测试当程序被调试后由本来不可以打开变成可以打开的进程有:

csrss.exe
smss.exe
lsass.exe
svchost.exe
winlogon.exe

其中获取csrss的PID也可以用CsrGetProcessId这个函数,我用ASM写了一段例子代码 :

searchproc proc 
    LOCAL hSnapshot
    LOCAL hProcess
        invoke        CreateToolhelp32Snapshot, 2, 0
        mov        hSnapshot, eax
        mov        uProcess.dwSize, sizeof uProcess
        invoke        Process32First, hSnapshot, ADDR uProcess
        mov        hProcess, eax
        push esi
        xor esi,esi
        .while hProcess!=0
            ;--------------
            call @F
            szcsr db 'csrss.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szcsr,addr szOK,MB_OK
            @@:
            ;-----------------
            call @F
            szsmss db 'smss.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szsmss,addr szOK,MB_OK
            @@:
            ;---------------------
            call @F
            szlsa db 'lsass.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szlsa,addr szOK,MB_OK
            @@:            
            ;---------------
            call @F
            szsvc db 'svchost.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szsvc,addr szOK,MB_OK
            @@:            
            ;---------------
            ;---------------
            call @F
            szwlg db 'winlogon.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szwlg,addr szOK,MB_OK
            @@:            
            ;---------------
            ;invoke TerminateProcess,eax,0 
                skip:
                invoke        Process32Next, hSnapshot, ADDR uProcess
                mov        hProcess, eax
        .endw
        pop esi
    invoke        CloseHandle, hSnapshot
        ret


有时用Olldybg第一次调试会没事,再次用ollydbg调试时就会中招!!

一个测试的debugme,是以前写的,用了CsrGetProcessId,只能在XP下运行,不过上面的代码是可以在2k以上的系统使用的。。

http://bbs.pediy.com/upload/2005/37/files/debugme.rar

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 7
支持
分享
最新回复 (8)
pendan2001
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
2
先做沙发啊
2005-9-13 23:19
0
夜凉如水
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
3
hoho 支持你的说!!!!!!!!!
2005-9-14 09:41
0
wekabc
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
强!!!!!!!!!!!!!!!!
2005-9-14 11:33
0
softworm
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
私信
5
期待更多教程
2005-9-14 12:21
0
lnn1123
雪    币: 234
活跃值: (370)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
6
学习,强烈支持的说
2005-9-14 14:36
0
auser
雪    币: 234
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
这个强!
只有hook OpenProcess来反anti trick了。
2005-9-14 15:18
0
mElOdy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
by 来自轻院的狼[Immlep]

哪个轻院哦?
2005-9-14 15:26
0
寒江雪
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
好啊! 再多来些
2005-9-14 23:49
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//