ring 3 下让人蓝屏的登陆器，求大牛指点-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] ring 3 下让人蓝屏的登陆器，求大牛指点 0.00雪花

发表于: 2014-5-9 09:05 7394

[旧帖] ring 3 下让人蓝屏的登陆器，求大牛指点 0.00雪花

木瓜枫叶

2014-5-9 09:05

7394

朋友在玩一传奇私服，说是自己想白天在家也挂机，让我帮忙看看能不能写外挂，昨晚上，下载了试了一下，震惊了，做的各种猥琐，监测线程有5-6个，时钟监测有5－6个，还加了一个系统线程，具体功能没看出来系统线程的作用。
最要命的是启动od ，居然直接蓝屏，而且是在ring3 层。没有一点内核的钩子。

之前看文章知道，t＊p 会向64端口写入0fe，导致系统重启。不知道ring3 让系统蓝屏是如何做的。
还请哪位如果研究过的，帮看一下。有兴趣的各位大牛，帮分析一下。小弟先在此写过。
刚刚在努力学习内核方面的知识，突然被这私服吓到了，意识到3环内的一些猥琐流打法。也可以让对手几乎团灭。

忘记说了：64位下没蓝屏，od看到了代码各种vm。

私服下载器地址：http://www.momo185.com/
客户端下载器地址：http://pan.baidu.com/s/1kTLrqYj
小弟qq：1354651314

[课程]Linux pwn 探索篇！

收藏・2

免费・0

支持

最新回复 (23)
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 2 楼自己加载驱动。检测到OD发给驱动一个消息随便怎么蓝。。X64没钱买签名，加不了 2014-5-9 09:16 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 3 楼看过了，无加载任何驱动。我之前也在想是驱动搞的这种猥琐流好难搞 2014-5-9 09:18 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 4 楼我回去看看加个系统回调，看看是否加载什么驱动文件否。好郁闷。感觉被这登陆器玩了 2014-5-9 09:21 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 5 楼自己顶一下 2014-5-9 09:41 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 6 楼说得这么叼。下班回去撸一下看看。我倒是想看看没驱动怎么弄蓝屏 2014-5-9 09:48 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 7 楼恩恩，先谢谢了，如果发现很容易，不要骂我 2014-5-9 09:54 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 8 楼 NtRaiseHardError 2014-5-9 10:00 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 9 楼任务管理器杀掉 csrss.exe 一样蓝 2014-5-9 10:03 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 10 楼 RtlAdjustPrivilege CreateWindowStationA 非法调用这两个也能让XP蓝. 2014-5-9 11:42 0
AJISky 雪币： 269 活跃值： (906) 能力值： ( LV12，RANK：345 ) 在线值：发帖 44 回帖 515 粉丝 21 关注私信	AJISky 7 11 楼有看到说，在注册表kbdhid或i8042prt下新建CrashOnCtrlScroll(DWORD)置为1，然后重启系统，后按Ctrl+Scroll键，能够蓝屏，可我试了N次，都不成功，有试过的吗，XP和win7已测均未蓝 2014-5-9 12:00 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 12 楼我记得这个事卡死，不会造成蓝屏好吧，刚刚测试了一下，果然蓝了。 2014-5-9 13:54 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 13 楼还不下班，想回去爆他 2014-5-9 14:14 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 14 楼今天晚上看了下。这登陆器用的Safengine的CheatDefender 2014-5-9 21:25 0
htpidk 雪币： 7130 活跃值： (3778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 277 粉丝 1 关注私信	htpidk 15 楼 R3蓝屏是可以的，我家里电脑上有代码，以前测试过实体机WIN7，虚拟机XP都蓝了的说，等到家了翻番看 2014-5-9 21:31 0
李罡雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	李罡 16 楼兄弟情况怎么样啊? 我的也是传奇私服,遇到一样的问题! 我的是开了OD就直接被重启! 希望可以交流下经验! 2014-12-27 19:08 0
flamer 雪币： 224 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	flamer 17 楼呵呵，我研究过这个东西。他应该是结束系统关键进程实现的。具体我没有测试。你可以写个驱动HOOK一下，敏感函数。你用XT看一下。它是用户层不可以访问的进程。用户模式下，你是打不开这个进程的。而且他Hook OD检测关键代码。然后。。。。。。。。。。。。蓝屏。 2014-12-27 19:37 0
李罡雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	李罡 18 楼大哥,有偿请你帮忙解决一下!可以吗? 2014-12-27 19:46 0
李罡雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	李罡 19 楼难道真的比qq公司的保护还厉害? 我现在在自学C++,看来是浪费时间了,对于我这新手估计永远不可能过得了了! 2014-12-27 19:50 0
flamer 雪币： 224 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	flamer 20 楼使用Ollydbg会被检测出来。写个驱动看一下检测的具体内容。Pass一下就OK了 2014-12-27 20:41 0
李罡雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	李罡 21 楼大哥图片看不到啊,有偿请你帮忙,好吗? 或者方便给个qq号吗? 我是新人,只会易语言写点挂,不会搞驱动的! 2014-12-27 20:51 0
flamer 雪币： 224 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	flamer 22 楼加我Q519999199 2014-12-28 12:11 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 23 楼 2014-12-28 12:32 0
flamer 雪币： 224 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	flamer 24 楼 http://photo.163.com/45248001/#m=2&aid=116894584&pid=9133933214 2014-12-28 12:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

木瓜枫叶

发帖

515

回帖

120

RANK

关注

私信

他的文章

[原创]PECompact v2.xx脱壳之魔兽改键精灵去弹广告 7599

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 2 楼自己加载驱动。检测到OD发给驱动一个消息随便怎么蓝。。X64没钱买签名，加不了 2014-5-9 09:16 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 3 楼看过了，无加载任何驱动。我之前也在想是驱动搞的这种猥琐流好难搞 2014-5-9 09:18 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 4 楼我回去看看加个系统回调，看看是否加载什么驱动文件否。好郁闷。感觉被这登陆器玩了 2014-5-9 09:21 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 5 楼自己顶一下 2014-5-9 09:41 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 6 楼说得这么叼。下班回去撸一下看看。我倒是想看看没驱动怎么弄蓝屏 2014-5-9 09:48 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 7 楼恩恩，先谢谢了，如果发现很容易，不要骂我 2014-5-9 09:54 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 8 楼 NtRaiseHardError 2014-5-9 10:00 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 9 楼任务管理器杀掉 csrss.exe 一样蓝 2014-5-9 10:03 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 10 楼 RtlAdjustPrivilege CreateWindowStationA 非法调用这两个也能让XP蓝. 2014-5-9 11:42 0
AJISky 雪币： 269 活跃值： (906) 能力值： ( LV12，RANK：345 ) 在线值：发帖 44 回帖 515 粉丝 21 关注私信	AJISky 7 11 楼有看到说，在注册表kbdhid或i8042prt下新建CrashOnCtrlScroll(DWORD)置为1，然后重启系统，后按Ctrl+Scroll键，能够蓝屏，可我试了N次，都不成功，有试过的吗，XP和win7已测均未蓝 2014-5-9 12:00 0
IamHuskar 雪币： 1392 活跃值： (4862) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 12 楼我记得这个事卡死，不会造成蓝屏好吧，刚刚测试了一下，果然蓝了。 2014-5-9 13:54 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 13 楼还不下班，想回去爆他 2014-5-9 14:14 0
木瓜枫叶雪币： 459 活跃值： (344) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 14 楼今天晚上看了下。这登陆器用的Safengine的CheatDefender 2014-5-9 21:25 0
htpidk 雪币： 7130 活跃值： (3778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 277 粉丝 1 关注私信	htpidk 15 楼 R3蓝屏是可以的，我家里电脑上有代码，以前测试过实体机WIN7，虚拟机XP都蓝了的说，等到家了翻番看 2014-5-9 21:31 0
李罡雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	李罡 16 楼兄弟情况怎么样啊? 我的也是传奇私服,遇到一样的问题! 我的是开了OD就直接被重启! 希望可以交流下经验! 2014-12-27 19:08 0
flamer 雪币： 224 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	flamer 17 楼呵呵，我研究过这个东西。他应该是结束系统关键进程实现的。具体我没有测试。你可以写个驱动HOOK一下，敏感函数。你用XT看一下。它是用户层不可以访问的进程。用户模式下，你是打不开这个进程的。而且他Hook OD检测关键代码。然后。。。。。。。。。。。。蓝屏。 2014-12-27 19:37 0
李罡雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	李罡 18 楼大哥,有偿请你帮忙解决一下!可以吗? 2014-12-27 19:46 0
李罡雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	李罡 19 楼难道真的比qq公司的保护还厉害? 我现在在自学C++,看来是浪费时间了,对于我这新手估计永远不可能过得了了! 2014-12-27 19:50 0
flamer 雪币： 224 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	flamer 20 楼使用Ollydbg会被检测出来。写个驱动看一下检测的具体内容。Pass一下就OK了 2014-12-27 20:41 0
李罡雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	李罡 21 楼大哥图片看不到啊,有偿请你帮忙,好吗? 或者方便给个qq号吗? 我是新人,只会易语言写点挂,不会搞驱动的! 2014-12-27 20:51 0
flamer 雪币： 224 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	flamer 22 楼加我Q519999199 2014-12-28 12:11 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 23 楼 2014-12-28 12:32 0
flamer 雪币： 224 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	flamer 24 楼 http://photo.163.com/45248001/#m=2&aid=116894584&pid=9133933214 2014-12-28 12:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复