[求助]驱动层如何在64位系统中保护自己的窗口-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]驱动层如何在64位系统中保护自己的窗口

2020-12-24 17:13 12071

未解决 [求助]驱动层如何在64位系统中保护自己的窗口

ybt

2020-12-24 17:13

12071

查看主题内容

收藏・6

免费・0

打赏

最新回复 (54) ◀ 1 2 3 ▶
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-29 10:01 26 楼 0 心里某个地方按你说的，没驱动就全是r3，直接注入c3完事了我不知道注入c3是什么意思额
天决雪币： 1243 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	天决 2020-12-30 10:02 27 楼 0 https://bbs.pediy.com/thread-261845.htm https://bbs.pediy.com/thread-251220.htm 阅读以下这两篇，你应该能找到合适的思路；
dx苹果的心愿雪币： 812 活跃值： (3411) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 60 粉丝 6 关注私信	dx苹果的心愿 1 2021-1-5 10:24 28 楼 0 ybt wowocock 窗口标题随机化。在自己的窗口处理函数里，处理所有窗口消息，如果不是自己发关闭的，一律忽略，还要对消息洪水攻击进行处理。这种简单的对抗我们早就 ... 问下，在当前进程如何判断消息是其他进程发过来的呢？
~时光荏苒雪币： 5115 活跃值： (4603) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 153 粉丝 5 关注私信	~时光荏苒 2021-1-5 21:39 29 楼 0 如果不在内核层而且某个特定软件直接注入他 hook掉他的窗口请求函数就完事了
超人hero 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	超人hero 2021-1-5 21:57 30 楼 0 不能阻止对方的进程运行吗,或者检测到不安全代码禁止其执行
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 09:32 31 楼 0 天决 https://bbs.pediy.com/thread-261845.htm https://bbs.pediy.com/thread-251220.htm 阅读以下这两篇，你应该能找到合适的思 ... 这个解决不了NtUserFindWindow、NtUserGetForegroundWindow、NtUserSetWindowPos等函数的行为吧
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 09:36 32 楼 0 dx苹果的心愿问下，在当前进程如何判断消息是其他进程发过来的呢？举个简单的例子 ::SendMessage(hWnd, WM_CLOSE, 0, 0); 正常后面两个参数为0，你可以用其中一个弄上自己的标识，目标窗口收到后，判断下标识
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 09:40 33 楼 0 ~时光荏苒如果不在内核层而且某个特定软件直接注入他 hook掉他的窗口请求函数就完事了前面的回答我有说，对方会用WriteProcessMemory使Hook失效。因为是写它自身的内存，我没想到办法去判断拦截。最后于 2021-1-6 11:08 被ybt编辑，原因：
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 09:44 34 楼 0 超人hero 不能阻止对方的进程运行吗,或者检测到不安全代码禁止其执行举例：在一个超市的收银机里，可以不需要收款插件，但是收银软件必须得有。某些收银软件还有一招：检测到收款插件，直接自杀。咱还得防着它自杀，本来就是不公平的竞争。最后于 2021-1-6 10:00 被ybt编辑，原因：
wx_CaCO3 雪币： 0 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_CaCO3 2021-1-6 15:34 35 楼 0 你不如研究一下终极大招，直接绕过 GDI 用显卡画图。。
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 15:54 36 楼 0 wx_CaCO3 你不如研究一下终极大招，直接绕过 GDI 用显卡画图。。[em_41] 但凡有一粒花生米。。。
天决雪币： 1243 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	天决 2021-1-6 16:20 37 楼 0 ybt 这个解决不了NtUserFindWindow、NtUserGetForegroundWindow、NtUserSetWindowPos等函数的行为吧内核里面摘除链表之后其他软件是遍历不到你的窗口的，当然也没法进行后续的操作了，但是这个方法的缺陷是用户也操作不了你的窗口了。如果你hook ValidateHwndEx别的软件能遍历到你的窗口，但是后续的操作，都可以被你拦截！
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-8 14:25 38 楼 0 天决内核里面摘除链表之后其他软件是遍历不到你的窗口的，当然也没法进行后续的操作了，但是这个方法的缺陷是用户也操作不了你的窗口了。如果你hook ValidateHwndEx别的软件能遍历到你的窗口，但是后 ... 用户若不能操作我的窗口，那也只能Pass了。
Lauv 雪币： 578 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Lauv 2021-1-21 20:29 39 楼 0 你说的卡巴基斯的hook是指https://github.com/crvvdev/MasterHide ？
ffashi 雪币： 772 活跃值： (977) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 2021-1-21 20:41 40 楼 0 简单。 1、记录窗口当前状态。 2、通讯自身驱动，校验。 3、先恢复SSDT
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-22 10:44 41 楼 0 Lauv 你说的卡巴基斯的hook是指https://github.com/crvvdev/MasterHide ？ MasterHide是使用KasperskyHook的示例。
Windows辉雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Windows辉 2021-3-7 11:54 42 楼 0 用pg就可以，我有稳定pg 可以联系
欧阳休雪币： 3794 活跃值： (1862) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 39 粉丝 2 关注私信	欧阳休 2021-3-7 13:04 43 楼 0 还以为你们公司是做传奇的
yeyeyesO 雪币： 642 活跃值： (996) 能力值： ( LV5，RANK：72 ) 在线值：发帖 5 回帖 37 粉丝 3 关注私信	yeyeyesO 2021-3-7 19:41 44 楼 0 做哪个收银系统的？
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 09:39 45 楼 0 Windows辉用pg就可以，我有稳定pg 可以联系我后来也发现了，Win7 x64 PathGuard可以绕过。最后于 2021-3-12 09:40 被ybt编辑，原因：
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 09:39 46 楼 0 欧阳休还以为你们公司是做传奇的不是呢
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 09:40 47 楼 0 yeyeyesO 做哪个收银系统的？保密最后于 2021-3-12 10:25 被ybt编辑，原因：
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 09:45 48 楼 0 ffashi 简单。 1、记录窗口当前状态。 2、通讯自身驱动，校验。 3、先恢复SSDT 没懂。
yeyeyesO 雪币： 642 活跃值： (996) 能力值： ( LV5，RANK：72 ) 在线值：发帖 5 回帖 37 粉丝 3 关注私信	yeyeyesO 2021-3-12 16:36 49 楼 0 ybt yeyeyesO 做哪个收银系统的？保密哈哈哈哈主要是做支付插件的吗
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 16:47 50 楼 0 yeyeyesO 哈哈哈哈主要是做支付插件的吗嗯，你是同行吗？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

ybt

发帖

回帖

RANK

关注

私信

他的文章

[讨论] Win7 x86和x64系统的shadow ssdt函数序号不一样

[求助]驱动层如何在64位系统中保护自己的窗口

[求助]溢出文档无法溢出的问题

[求助]（Inline Hook）少部分API导致进程未加载完成，就直接退出的问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (54) ◀ 1 2 3 ▶
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-29 10:01 26 楼 0 心里某个地方按你说的，没驱动就全是r3，直接注入c3完事了我不知道注入c3是什么意思额
天决雪币： 1243 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	天决 2020-12-30 10:02 27 楼 0 https://bbs.pediy.com/thread-261845.htm https://bbs.pediy.com/thread-251220.htm 阅读以下这两篇，你应该能找到合适的思路；
dx苹果的心愿雪币： 812 活跃值： (3411) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 60 粉丝 6 关注私信	dx苹果的心愿 1 2021-1-5 10:24 28 楼 0 ybt wowocock 窗口标题随机化。在自己的窗口处理函数里，处理所有窗口消息，如果不是自己发关闭的，一律忽略，还要对消息洪水攻击进行处理。这种简单的对抗我们早就 ... 问下，在当前进程如何判断消息是其他进程发过来的呢？
~时光荏苒雪币： 5115 活跃值： (4603) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 153 粉丝 5 关注私信	~时光荏苒 2021-1-5 21:39 29 楼 0 如果不在内核层而且某个特定软件直接注入他 hook掉他的窗口请求函数就完事了
超人hero 雪币： 0 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	超人hero 2021-1-5 21:57 30 楼 0 不能阻止对方的进程运行吗,或者检测到不安全代码禁止其执行
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 09:32 31 楼 0 天决 https://bbs.pediy.com/thread-261845.htm https://bbs.pediy.com/thread-251220.htm 阅读以下这两篇，你应该能找到合适的思 ... 这个解决不了NtUserFindWindow、NtUserGetForegroundWindow、NtUserSetWindowPos等函数的行为吧
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 09:36 32 楼 0 dx苹果的心愿问下，在当前进程如何判断消息是其他进程发过来的呢？举个简单的例子 ::SendMessage(hWnd, WM_CLOSE, 0, 0); 正常后面两个参数为0，你可以用其中一个弄上自己的标识，目标窗口收到后，判断下标识
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 09:40 33 楼 0 ~时光荏苒如果不在内核层而且某个特定软件直接注入他 hook掉他的窗口请求函数就完事了前面的回答我有说，对方会用WriteProcessMemory使Hook失效。因为是写它自身的内存，我没想到办法去判断拦截。最后于 2021-1-6 11:08 被ybt编辑，原因：
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 09:44 34 楼 0 超人hero 不能阻止对方的进程运行吗,或者检测到不安全代码禁止其执行举例：在一个超市的收银机里，可以不需要收款插件，但是收银软件必须得有。某些收银软件还有一招：检测到收款插件，直接自杀。咱还得防着它自杀，本来就是不公平的竞争。最后于 2021-1-6 10:00 被ybt编辑，原因：
wx_CaCO3 雪币： 0 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_CaCO3 2021-1-6 15:34 35 楼 0 你不如研究一下终极大招，直接绕过 GDI 用显卡画图。。
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-6 15:54 36 楼 0 wx_CaCO3 你不如研究一下终极大招，直接绕过 GDI 用显卡画图。。[em_41] 但凡有一粒花生米。。。
天决雪币： 1243 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	天决 2021-1-6 16:20 37 楼 0 ybt 这个解决不了NtUserFindWindow、NtUserGetForegroundWindow、NtUserSetWindowPos等函数的行为吧内核里面摘除链表之后其他软件是遍历不到你的窗口的，当然也没法进行后续的操作了，但是这个方法的缺陷是用户也操作不了你的窗口了。如果你hook ValidateHwndEx别的软件能遍历到你的窗口，但是后续的操作，都可以被你拦截！
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-8 14:25 38 楼 0 天决内核里面摘除链表之后其他软件是遍历不到你的窗口的，当然也没法进行后续的操作了，但是这个方法的缺陷是用户也操作不了你的窗口了。如果你hook ValidateHwndEx别的软件能遍历到你的窗口，但是后 ... 用户若不能操作我的窗口，那也只能Pass了。
Lauv 雪币： 578 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Lauv 2021-1-21 20:29 39 楼 0 你说的卡巴基斯的hook是指https://github.com/crvvdev/MasterHide ？
ffashi 雪币： 772 活跃值： (977) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 2021-1-21 20:41 40 楼 0 简单。 1、记录窗口当前状态。 2、通讯自身驱动，校验。 3、先恢复SSDT
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-1-22 10:44 41 楼 0 Lauv 你说的卡巴基斯的hook是指https://github.com/crvvdev/MasterHide ？ MasterHide是使用KasperskyHook的示例。
Windows辉雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	Windows辉 2021-3-7 11:54 42 楼 0 用pg就可以，我有稳定pg 可以联系
欧阳休雪币： 3794 活跃值： (1862) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 39 粉丝 2 关注私信	欧阳休 2021-3-7 13:04 43 楼 0 还以为你们公司是做传奇的
yeyeyesO 雪币： 642 活跃值： (996) 能力值： ( LV5，RANK：72 ) 在线值：发帖 5 回帖 37 粉丝 3 关注私信	yeyeyesO 2021-3-7 19:41 44 楼 0 做哪个收银系统的？
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 09:39 45 楼 0 Windows辉用pg就可以，我有稳定pg 可以联系我后来也发现了，Win7 x64 PathGuard可以绕过。最后于 2021-3-12 09:40 被ybt编辑，原因：
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 09:39 46 楼 0 欧阳休还以为你们公司是做传奇的不是呢
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 09:40 47 楼 0 yeyeyesO 做哪个收银系统的？保密最后于 2021-3-12 10:25 被ybt编辑，原因：
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 09:45 48 楼 0 ffashi 简单。 1、记录窗口当前状态。 2、通讯自身驱动，校验。 3、先恢复SSDT 没懂。
yeyeyesO 雪币： 642 活跃值： (996) 能力值： ( LV5，RANK：72 ) 在线值：发帖 5 回帖 37 粉丝 3 关注私信	yeyeyesO 2021-3-12 16:36 49 楼 0 ybt yeyeyesO 做哪个收银系统的？保密哈哈哈哈主要是做支付插件的吗
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-12 16:47 50 楼 0 yeyeyesO 哈哈哈哈主要是做支付插件的吗嗯，你是同行吗？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复