应用层反外挂技术实践-编程技术-看雪-安全社区|安全招聘|kanxue.com

应用层反外挂技术实践

发表于: 2013-6-26 13:56 40484

应用层反外挂技术实践

tihty

2013-6-26 13:56

40484

查看主题内容

收藏・64

免费・5

支持

最新回复 (44) ◀ 1 2
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 26 楼 64位不是做不了，而是让那些整天除了hook就一无所知的人无从下手而已。比如，你这个拦截远线程的处理，就可以是，在驱动设置线程创建回调，然后Zw函数查线程入口，然后patch这个入口（不用terminate thread，至于原因，自己想）。 2013-7-1 09:35 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 27 楼驱动的问题是，有的公司2套班底，驱动搞的事情，应用也要搞~~驱动是驱动部门的事情，应用层是应用部门的事情，千万不要越界，越界了，官僚主义严重的公司会让你明白，劝你必须主动辞职是个什么精神。 2013-7-1 13:01 0
sonyps 雪币： 4324 活跃值： (4838) 能力值： ( LV4，RANK：40 ) 在线值：发帖 33 回帖 369 粉丝 27 关注私信	sonyps 28 楼嗯注入的方法很多这样不能完全防止注入况且还可以促使主动加载一种简单的注入方法，如设置目标进程已有线程的EIP，来做任何事。一种简单的主动加载方法，修改导入表，添加依赖DLL。 2013-7-1 13:38 0
baronSDI 雪币： 29 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	baronSDI 29 楼学习了，能防止多少得多少，这东西没有百分百的 2013-7-2 09:23 0
qiaogx 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	qiaogx 30 楼求教， "这个时候，判断线程入口点是不是为LoadLibraryA(W)，如果是的话，可以肯定是远程线程正在干注入这事"，此时，我已经获得了线程入口点，怎么判断它是不是loadlibrary呢，loadlibrary是一个函数地址啊？ 2013-7-2 11:30 0
yyyang 雪币： 822 活跃值： (279) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 31 楼我觉得,美中不足,作者没有贴出"找线程入口点"的代码. 我看了原文,不懂怎么找线程入口点,希望作者能贴出这块的代码. 2013-7-8 00:42 0
sorrywyb 雪币： 3110 活跃值： (143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 13 关注私信	sorrywyb 32 楼 Lz这个比较难搞不过还是有办法的 2013-9-18 19:33 0
mudropmu 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 37 粉丝 1 关注私信	mudropmu 33 楼 #pragma once typedef LONG NTSTATUS; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE ThreadHandle, ULONG ThreadInformationClass, PVOID ThreadInformation, ULONG ThreadInformationLength, PULONG ReturnLength); typedef enum _THREADINFOCLASS { ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriority, ThreadAffinityMask, ThreadImpersonationToken, ThreadDescriptorTableEntry, ThreadEnableAlignmentFaultFixup, ThreadEventPair_Reusable, ThreadQuerySetWin32StartAddress, ThreadZeroTlsCell, ThreadPerformanceCount, ThreadAmILastThread, ThreadIdealProcessor, ThreadPriorityBoost, ThreadSetTlsArrayAddress, // Obsolete ThreadIsIoPending, ThreadHideFromDebugger, ThreadBreakOnTermination, ThreadSwitchLegacyState, ThreadIsTerminated, ThreadLastSystemCall, ThreadIoPriority, ThreadCycleTime, ThreadPagePriority, ThreadActualBasePriority, ThreadTebInformation, ThreadCSwitchMon, // Obsolete ThreadCSwitchPmu, ThreadWow64Context, ThreadGroupInformation, ThreadUmsInformation, // UMS ThreadCounterProfiling, ThreadIdealProcessorEx, MaxThreadInfoClass } THREADINFOCLASS; class FindThreadStaAddr { public: FindThreadStaAddr(void); ~FindThreadStaAddr(void); DWORD GetThreadStartAddr1(DWORD dwThreadId); }; #include "StdAfx.h" #include "FindThreadStaAddr.h" FindThreadStaAddr::FindThreadStaAddr(void) { } FindThreadStaAddr::~FindThreadStaAddr(void) { } DWORD FindThreadStaAddr::GetThreadStartAddr1(DWORD dwThreadId) { HMODULE hNtdll = LoadLibrary(_T("ntdll.dll")); if (!hNtdll) { return 0; } NTQUERYINFORMATIONTHREAD NtQueryInformationThread = NULL; NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD) GetProcAddress(hNtdll, "NtQueryInformationThread"); if (!NtQueryInformationThread) { return 0; } HANDLE ThreadHandle = NULL; ThreadHandle = OpenThread(THREAD_QUERY_INFORMATION, FALSE, dwThreadId); if (!ThreadHandle) { return 0; } DWORD dwStaAddr = NULL; DWORD dwReturnLength = 0; if(NtQueryInformationThreadtion(ThreadHandle, ThreadQuerySetWin32StartAddress, &dwStaAddr, sizeof(dwStaAddr), &dwReturnLength)) { return 0; } return dwStaAddr; } 得到线程入口。 2013-10-1 22:12 0
slj 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	slj 34 楼好贴，mark一下 2013-10-4 17:58 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 35 楼纯属路过，谢谢分享 2013-10-4 18:00 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 36 楼有盾必有矛！ 2013-10-4 18:14 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 37 楼国标到此一游 2014-1-16 15:30 0
newskrq 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 84 粉丝 0 关注私信	newskrq 38 楼游戏本身也调用loadlibrary加载一些dll文件，怎么判断这两个，还有一些输入法，也会在游戏里生成线程吧，怎么区别是外挂还是正常。本人新手，如果问的比较弱智，请不要嘲笑。。 2014-1-25 11:14 0
bingaoyi 雪币： 230 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	bingaoyi 39 楼顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶 2014-1-25 11:56 0
Auron 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Auron 40 楼没多大用啊，又不是同步。收到DLL_THREAD_ATTACH信息的时候，线程都在执行了。 2014-2-6 22:46 0
Auron 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Auron 41 楼好像说错了，收到DLL_THREAD_ATTACH信息的时候，线程环境创建好了，还没执行。好像能玩玩 2014-2-6 22:51 0
Auron 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Auron 42 楼 BOOL WINAPI DllMain( HANDLE hinstDLL , DWORD dwReason , LPVOID lpvReserved ) { switch ( dwReason ) { case DLL_THREAD_ATTACH: { char szShow[256] = {0}; HANDLE hOutput = NULL; hOutput = GetStdHandle ( STD_OUTPUT_HANDLE ); HMODULE hMod = NULL; hMod = GetModuleHandleW ( L"ntdll" ); if ( hMod == NULL ) return false; MyNtQuerySystemInformation _NtQuerySystemInformation = NULL; _NtQuerySystemInformation = (MyNtQuerySystemInformation)GetProcAddress ( hMod , "NtQuerySystemInformation" ); if ( _NtQuerySystemInformation == NULL ) return false; NTSTATUS status = 0; ULONG ReturnLen = 0; status = _NtQuerySystemInformation ( SystemProcessesAndThreadsInformation , g_Buf , sizeof(g_Buf) , &ReturnLen ); if ( status != 0 ) return false; PSYSTEM_PROCESSES pSysProc = (PSYSTEM_PROCESSES)g_Buf; bool bFind = false; do { if ( pSysProc->ProcessId == GetCurrentProcessId() ) { bFind = true; break; } pSysProc = (PSYSTEM_PROCESSES)((UINT64)pSysProc + pSysProc->NextEntryDelta); }while ( pSysProc->NextEntryDelta ); if ( bFind ) { HANDLE hThread = NULL; hThread = OpenThread ( THREAD_ALL_ACCESS , FALSE , (DWORD)pSysProc->Threads[pSysProc->ThreadCount-1].ClientId.UniqueThread ); if ( hThread == NULL ) return false; DWORD dwExitCode = 0; GetExitCodeThread ( hThread , &dwExitCode ); TerminateThread ( hThread , dwExitCode ); } else { if ( pSysProc->ProcessId == GetCurrentProcessId() ) { HANDLE hThread = NULL; hThread = OpenThread ( THREAD_ALL_ACCESS , FALSE , (DWORD)pSysProc->Threads[pSysProc->ThreadCount-1].ClientId.UniqueThread ); if ( hThread == NULL ) return false; DWORD dwExitCode = 0; GetExitCodeThread ( hThread , &dwExitCode ); TerminateThread ( hThread , dwExitCode ); } } Sleep(100); } break; } return true; } 半成品， pSysProc->Threads[pSysProc->ThreadCount-1].ClientId.UniqueThread 这里只是简单处理最后个线程 2014-2-6 23:54 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 43 楼不是可以先注入一段shellcode去hook kernel32里面的函数，然后等到执行这个函数的时候就去加载dll，这个dll就做下面的事情 #include <windows.h> #include <Tlhelp32.h> DWORD DllThreadNoInfo() { HANDLE hSnapshot = NULL; MODULEENTRY32 me32 ={0}; me32.dwSize = sizeof (me32); hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPMODULE, GetCurrentProcessId() ); if (hSnapshot == INVALID_HANDLE_VALUE) { return -1; } if(Module32First(hSnapshot, &me32)) { do { if (me32.hModule != GetModuleHandle(NULL)) { DisableThreadLibraryCalls(me32.hModule); } } while ( Module32Next(hSnapshot, &me32) ); } CloseHandle(hSnapshot); return 0; } BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { DllThreadNoInfo(); return TRUE; } 这不是可以去保护了么？ 2014-2-7 12:45 0
tuobaofeng 雪币： 108 活跃值： (44) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	tuobaofeng 44 楼标记，学习下 2014-2-7 13:58 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 45 楼这个以前不知道谢谢楼主告知 2014-2-8 14:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tihty

发帖

1095

回帖

120

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (44) ◀ 1 2
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 26 楼 64位不是做不了，而是让那些整天除了hook就一无所知的人无从下手而已。比如，你这个拦截远线程的处理，就可以是，在驱动设置线程创建回调，然后Zw函数查线程入口，然后patch这个入口（不用terminate thread，至于原因，自己想）。 2013-7-1 09:35 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 27 楼驱动的问题是，有的公司2套班底，驱动搞的事情，应用也要搞~~驱动是驱动部门的事情，应用层是应用部门的事情，千万不要越界，越界了，官僚主义严重的公司会让你明白，劝你必须主动辞职是个什么精神。 2013-7-1 13:01 0
sonyps 雪币： 4324 活跃值： (4838) 能力值： ( LV4，RANK：40 ) 在线值：发帖 33 回帖 369 粉丝 27 关注私信	sonyps 28 楼嗯注入的方法很多这样不能完全防止注入况且还可以促使主动加载一种简单的注入方法，如设置目标进程已有线程的EIP，来做任何事。一种简单的主动加载方法，修改导入表，添加依赖DLL。 2013-7-1 13:38 0
baronSDI 雪币： 29 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	baronSDI 29 楼学习了，能防止多少得多少，这东西没有百分百的 2013-7-2 09:23 0
qiaogx 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	qiaogx 30 楼求教， "这个时候，判断线程入口点是不是为LoadLibraryA(W)，如果是的话，可以肯定是远程线程正在干注入这事"，此时，我已经获得了线程入口点，怎么判断它是不是loadlibrary呢，loadlibrary是一个函数地址啊？ 2013-7-2 11:30 0
yyyang 雪币： 822 活跃值： (279) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 31 楼我觉得,美中不足,作者没有贴出"找线程入口点"的代码. 我看了原文,不懂怎么找线程入口点,希望作者能贴出这块的代码. 2013-7-8 00:42 0
sorrywyb 雪币： 3110 活跃值： (143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 13 关注私信	sorrywyb 32 楼 Lz这个比较难搞不过还是有办法的 2013-9-18 19:33 0
mudropmu 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 37 粉丝 1 关注私信	mudropmu 33 楼 #pragma once typedef LONG NTSTATUS; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE ThreadHandle, ULONG ThreadInformationClass, PVOID ThreadInformation, ULONG ThreadInformationLength, PULONG ReturnLength); typedef enum _THREADINFOCLASS { ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriority, ThreadAffinityMask, ThreadImpersonationToken, ThreadDescriptorTableEntry, ThreadEnableAlignmentFaultFixup, ThreadEventPair_Reusable, ThreadQuerySetWin32StartAddress, ThreadZeroTlsCell, ThreadPerformanceCount, ThreadAmILastThread, ThreadIdealProcessor, ThreadPriorityBoost, ThreadSetTlsArrayAddress, // Obsolete ThreadIsIoPending, ThreadHideFromDebugger, ThreadBreakOnTermination, ThreadSwitchLegacyState, ThreadIsTerminated, ThreadLastSystemCall, ThreadIoPriority, ThreadCycleTime, ThreadPagePriority, ThreadActualBasePriority, ThreadTebInformation, ThreadCSwitchMon, // Obsolete ThreadCSwitchPmu, ThreadWow64Context, ThreadGroupInformation, ThreadUmsInformation, // UMS ThreadCounterProfiling, ThreadIdealProcessorEx, MaxThreadInfoClass } THREADINFOCLASS; class FindThreadStaAddr { public: FindThreadStaAddr(void); ~FindThreadStaAddr(void); DWORD GetThreadStartAddr1(DWORD dwThreadId); }; #include "StdAfx.h" #include "FindThreadStaAddr.h" FindThreadStaAddr::FindThreadStaAddr(void) { } FindThreadStaAddr::~FindThreadStaAddr(void) { } DWORD FindThreadStaAddr::GetThreadStartAddr1(DWORD dwThreadId) { HMODULE hNtdll = LoadLibrary(_T("ntdll.dll")); if (!hNtdll) { return 0; } NTQUERYINFORMATIONTHREAD NtQueryInformationThread = NULL; NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD) GetProcAddress(hNtdll, "NtQueryInformationThread"); if (!NtQueryInformationThread) { return 0; } HANDLE ThreadHandle = NULL; ThreadHandle = OpenThread(THREAD_QUERY_INFORMATION, FALSE, dwThreadId); if (!ThreadHandle) { return 0; } DWORD dwStaAddr = NULL; DWORD dwReturnLength = 0; if(NtQueryInformationThreadtion(ThreadHandle, ThreadQuerySetWin32StartAddress, &dwStaAddr, sizeof(dwStaAddr), &dwReturnLength)) { return 0; } return dwStaAddr; } 得到线程入口。 2013-10-1 22:12 0
slj 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	slj 34 楼好贴，mark一下 2013-10-4 17:58 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 35 楼纯属路过，谢谢分享 2013-10-4 18:00 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 36 楼有盾必有矛！ 2013-10-4 18:14 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 37 楼国标到此一游 2014-1-16 15:30 0
newskrq 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 84 粉丝 0 关注私信	newskrq 38 楼游戏本身也调用loadlibrary加载一些dll文件，怎么判断这两个，还有一些输入法，也会在游戏里生成线程吧，怎么区别是外挂还是正常。本人新手，如果问的比较弱智，请不要嘲笑。。 2014-1-25 11:14 0
bingaoyi 雪币： 230 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	bingaoyi 39 楼顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶 2014-1-25 11:56 0
Auron 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Auron 40 楼没多大用啊，又不是同步。收到DLL_THREAD_ATTACH信息的时候，线程都在执行了。 2014-2-6 22:46 0
Auron 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Auron 41 楼好像说错了，收到DLL_THREAD_ATTACH信息的时候，线程环境创建好了，还没执行。好像能玩玩 2014-2-6 22:51 0
Auron 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Auron 42 楼 BOOL WINAPI DllMain( HANDLE hinstDLL , DWORD dwReason , LPVOID lpvReserved ) { switch ( dwReason ) { case DLL_THREAD_ATTACH: { char szShow[256] = {0}; HANDLE hOutput = NULL; hOutput = GetStdHandle ( STD_OUTPUT_HANDLE ); HMODULE hMod = NULL; hMod = GetModuleHandleW ( L"ntdll" ); if ( hMod == NULL ) return false; MyNtQuerySystemInformation _NtQuerySystemInformation = NULL; _NtQuerySystemInformation = (MyNtQuerySystemInformation)GetProcAddress ( hMod , "NtQuerySystemInformation" ); if ( _NtQuerySystemInformation == NULL ) return false; NTSTATUS status = 0; ULONG ReturnLen = 0; status = _NtQuerySystemInformation ( SystemProcessesAndThreadsInformation , g_Buf , sizeof(g_Buf) , &ReturnLen ); if ( status != 0 ) return false; PSYSTEM_PROCESSES pSysProc = (PSYSTEM_PROCESSES)g_Buf; bool bFind = false; do { if ( pSysProc->ProcessId == GetCurrentProcessId() ) { bFind = true; break; } pSysProc = (PSYSTEM_PROCESSES)((UINT64)pSysProc + pSysProc->NextEntryDelta); }while ( pSysProc->NextEntryDelta ); if ( bFind ) { HANDLE hThread = NULL; hThread = OpenThread ( THREAD_ALL_ACCESS , FALSE , (DWORD)pSysProc->Threads[pSysProc->ThreadCount-1].ClientId.UniqueThread ); if ( hThread == NULL ) return false; DWORD dwExitCode = 0; GetExitCodeThread ( hThread , &dwExitCode ); TerminateThread ( hThread , dwExitCode ); } else { if ( pSysProc->ProcessId == GetCurrentProcessId() ) { HANDLE hThread = NULL; hThread = OpenThread ( THREAD_ALL_ACCESS , FALSE , (DWORD)pSysProc->Threads[pSysProc->ThreadCount-1].ClientId.UniqueThread ); if ( hThread == NULL ) return false; DWORD dwExitCode = 0; GetExitCodeThread ( hThread , &dwExitCode ); TerminateThread ( hThread , dwExitCode ); } } Sleep(100); } break; } return true; } 半成品， pSysProc->Threads[pSysProc->ThreadCount-1].ClientId.UniqueThread 这里只是简单处理最后个线程 2014-2-6 23:54 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 43 楼不是可以先注入一段shellcode去hook kernel32里面的函数，然后等到执行这个函数的时候就去加载dll，这个dll就做下面的事情 #include <windows.h> #include <Tlhelp32.h> DWORD DllThreadNoInfo() { HANDLE hSnapshot = NULL; MODULEENTRY32 me32 ={0}; me32.dwSize = sizeof (me32); hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPMODULE, GetCurrentProcessId() ); if (hSnapshot == INVALID_HANDLE_VALUE) { return -1; } if(Module32First(hSnapshot, &me32)) { do { if (me32.hModule != GetModuleHandle(NULL)) { DisableThreadLibraryCalls(me32.hModule); } } while ( Module32Next(hSnapshot, &me32) ); } CloseHandle(hSnapshot); return 0; } BOOL APIENTRY DllMain( HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ) { DllThreadNoInfo(); return TRUE; } 这不是可以去保护了么？ 2014-2-7 12:45 0
tuobaofeng 雪币： 108 活跃值： (44) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	tuobaofeng 44 楼标记，学习下 2014-2-7 13:58 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 45 楼这个以前不知道谢谢楼主告知 2014-2-8 14:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复