能力值:
( LV3,RANK:20 )
|
-
-
2 楼
全给你拦截完了,你说有没有可能是外部程序导致的呢?比如CMD命令关机
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
cmd关机本质也是走的API
|
能力值:
( LV3,RANK:30 )
|
-
-
4 楼
你直接分析那个程序不就知道了吗
|
能力值:
( LV5,RANK:78 )
|
-
-
5 楼
思路错了....从你处理来看 你应该是处理的r3层.那么.关机就这么多API 截取不到.先不考虑是否调用更底层的 x64call啥的.那么 思路有两个方向. 1.一楼已经说了.外部程序.断下运行外部程序的api 看下 2.提权函数越权操作之类的造成的蓝屏重启.干掉提权函数就好了. 基本上就这就几个方向.
|
能力值:
( LV3,RANK:20 )
|
-
-
6 楼
内核下 out 指令,直接写IO端口就完成关机重启 除非用VT ,不然没办法拦截的
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
xuetr 不是有这个功能
|
能力值:
( LV5,RANK:73 )
|
-
-
8 楼
NtInitiatePowerAction NtSetSystemPowerState NtUserCallOneParam NtShutdownSystem
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
楼主的拦截是通过驱动实现么?
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
断点看看呀,还有能拦截他的按钮的事件吗??
|
能力值:
( LV3,RANK:30 )
|
-
-
11 楼
同意楼上,直接下断点看按钮事件的具体操作
|
能力值:
( LV3,RANK:30 )
|
-
-
12 楼
内核可以asm几句代码重启,拦截不到的把
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
病毒小子
你直接分析那个程序不就知道了吗
有vmp的,分析不了
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
bambooqj
思路错了....从你处理来看 你应该是处理的r3层.那么.关机就这么多API 截取不到.先不考虑是否调用更底层的 x64call啥的.那么 思路有两个方向.
1.一楼已经说了.外部程序.断下运行外部 ...
外部程序我下过全局的Hook,也是上述的几个API,拦截不到,蓝屏的话应该不是吧,我取消了蓝屏自动重启的,如果蓝屏会显示错误代码,他这个软件是直接黑屏,暂时还是没有头绪
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
VCKFC
内核下 out 指令,直接写IO端口就完成关机重启
除非用VT ,不然没办法拦截的
今天测试了一下内核方面的,也挂钩了DeviceioControl,就算我拦截了该重启还是重启
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
不是喔,应用层做的
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
感谢大家出的主意,要是能调试就没那么多麻烦事了,软件有vmp,无法正面刚啊,目前还正在尝试中,怀疑他还是在应用层做的重启,刚拦截了驱动通信函数DeviceIoControl,并不影响重启
|
能力值:
( LV1,RANK:0 )
|
-
-
19 楼
可以直接写一份应用层直接进入内核的_asm;填写API功能号,然后调用。这样的话也hook不到。
最后于 2019-4-30 16:33
被mb_vljjtoen编辑
,原因:
|
|
|