[求助]SSDT HOOK写的进程保护驱动,用taskkill都能干掉，怎么办-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2 楼 ObReferenceObjectByHandle可以ssdt hook？ 2013-7-3 18:12 0
SupRole 雪币： 148 活跃值： (59) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 118 粉丝 3 关注私信	SupRole 3 楼 taskkill对带窗口的进程会选择发WM_CLOSE 2013-7-3 21:15 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 4 楼 ObReferenceObjectByHandle你忘记过滤线程了 2013-7-3 21:23 0
snowelf 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	snowelf 5 楼表述有问题，应该是用ObReferenceObjectByHandle回调来保护进程 2013-7-4 11:24 0
snowelf 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	snowelf 6 楼 WM_CLOSE的过程是什么呢，不调用NtOpenProcess或NtTerminateProcess的话，那在r0层会调用哪个函数？ 2013-7-4 11:33 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 7 楼 exituserprocess 2013-7-4 11:35 0
snowelf 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	snowelf 8 楼没这个函数啊，是不是写错了？ 2013-7-4 15:59 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 9 楼不是SendMessageXXX吗 2013-7-4 16:32 0
snowelf 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	snowelf 10 楼这是R3层的，R3我不关心而且我也知道 2013-7-4 16:36 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 11 楼这个还有回调可以注册么? 是inline hook了么用这个的HOOK保护进程时候.记得要过滤线程不然还是轻松干掉 2013-7-4 16:45 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 12 楼试试hook NtUserQueryWindow这个能不能 ObReferenceObjectByHandle的回调没记错是ObRegisterCallBacks吧 2013-7-4 16:56 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 13 楼 ObReferenceObjectByHandle不是回调只能inline hook 应该考虑是否过滤线程id 或者考虑增加PsLookupThreadByThreadId的内联挂钩 2013-7-4 17:30 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 14 楼这个是窗体消息好不好通常窗体消息处理回调里都是类似这样处理： case WM_CLOSE: { exitprocess(0); break; } 实际是自己主动退出的，当然拦截不到 2013-7-4 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2 楼 ObReferenceObjectByHandle可以ssdt hook？ 2013-7-3 18:12 0
SupRole 雪币： 148 活跃值： (59) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 118 粉丝 3 关注私信	SupRole 3 楼 taskkill对带窗口的进程会选择发WM_CLOSE 2013-7-3 21:15 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 4 楼 ObReferenceObjectByHandle你忘记过滤线程了 2013-7-3 21:23 0
snowelf 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	snowelf 5 楼表述有问题，应该是用ObReferenceObjectByHandle回调来保护进程 2013-7-4 11:24 0
snowelf 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	snowelf 6 楼 WM_CLOSE的过程是什么呢，不调用NtOpenProcess或NtTerminateProcess的话，那在r0层会调用哪个函数？ 2013-7-4 11:33 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 7 楼 exituserprocess 2013-7-4 11:35 0
snowelf 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	snowelf 8 楼没这个函数啊，是不是写错了？ 2013-7-4 15:59 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 9 楼不是SendMessageXXX吗 2013-7-4 16:32 0
snowelf 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	snowelf 10 楼这是R3层的，R3我不关心而且我也知道 2013-7-4 16:36 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 11 楼这个还有回调可以注册么? 是inline hook了么用这个的HOOK保护进程时候.记得要过滤线程不然还是轻松干掉 2013-7-4 16:45 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 12 楼试试hook NtUserQueryWindow这个能不能 ObReferenceObjectByHandle的回调没记错是ObRegisterCallBacks吧 2013-7-4 16:56 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 13 楼 ObReferenceObjectByHandle不是回调只能inline hook 应该考虑是否过滤线程id 或者考虑增加PsLookupThreadByThreadId的内联挂钩 2013-7-4 17:30 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 14 楼这个是窗体消息好不好通常窗体消息处理回调里都是类似这样处理： case WM_CLOSE: { exitprocess(0); break; } 实际是自己主动退出的，当然拦截不到 2013-7-4 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复