能力值:
( LV10,RANK:170 )
|
-
-
2 楼
应该可以注入一个DLL,然后在DLL中执行类似下面的代码,便可以结束进程:
char szFileName[512] = {"0"};
char *szName = NULL;
::GetModuleFileName (NULL,szFileName,512);
szName = strrchr(szFileName,(int)'\\');
if(strcmp(szName+1,"notepad.exe") ==0)
{
::ExitProcess (0);
}
break;
|
能力值:
( LV5,RANK:70 )
|
-
-
3 楼
如果"WIN任务管理器可以用窗口那一栏的结束任务可以结束此进程",那么肯定可以枚举到对应窗体,发送WM_CLOSE等窗口操作消息即可.
虽然他hook了对应对应API,但是消息钩子还是能够进入的,dll进入后,从进程内调用exitprocess等关闭所在进程,亦可.
|
能力值:
( LV13,RANK:970 )
|
-
-
4 楼
可以把自己注册为shellexecutehook的com组件,然后注入到每个进程,想杀就杀掉当前进程就可以了貌似
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
做系统DLL,在进程内判断是否是要杀掉的进程,退出进程
|
能力值:
(RANK:300 )
|
-
-
6 楼
如果它隐藏,为甚幺任务管理器可以发现它 ?
|
能力值:
( LV13,RANK:530 )
|
-
-
7 楼
RING3 直接用Phisical Memory恢复服务表~~~~然后想怎么杀就怎么杀
|
能力值:
(RANK:300 )
|
-
-
8 楼
最初由 foxabu 发布 RING3 直接用Phisical Memory恢复服务表~~~~然后想怎么杀就怎么杀
Ring 3 存取 physical memory ?
|
能力值:
( LV13,RANK:530 )
|
-
-
9 楼
据说这个源代码网上面不在少数
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
最初由 riijj 发布 如果它隐藏,为甚幺任务管理器可以发现它 ?
进程隐藏不等于窗口隐藏
|
能力值:
( LV4,RANK:50 )
|
-
-
11 楼
RING0 HOOK了 OP以及QS函数 进程处于隐藏自我防杀状态,WIN任务管理器可以用窗口那一栏的结束任务可以结束此进程。只是问RING3还有哪些方法可以结束这类进程,RINGO的话那就完全没什么好说的了
邋锗了吧。QS函数 ?有被R0 HOOK 告灾?主???的方法,去晷檩咣?窗口,你有真晷檩不了的?,我可以告灾你被NP保罪的是可以晷檩主窗口的。多???次就可以了在晷檩不了我告灾你方法
|
能力值:
( LV4,RANK:50 )
|
-
-
12 楼
thinkSJ
?铨如果他能那注入就好了,
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
最初由 thinkSJ 发布 应该可以注入一个DLL,然后在DLL中执行类似下面的代码,便可以结束进程: char szFileName[512] = {"0"}; char *szName = NULL; ::GetModuleFileName (NULL,szFileName,512); szName = strrchr(szFileName,(int)'\\'); ........
没明白
|
能力值:
( LV9,RANK:1210 )
|
-
-
14 楼
最初由 riijj 发布 Ring 3 存取 physical memory ?
http://www.security.org.sg/code/sdtrestore.html
有源码
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
最初由 foxabu 发布 RING3 直接用Phisical Memory恢复服务表~~~~然后想怎么杀就怎么杀
测试过了,这个东西对于那个外挂隐藏没有任何作用,没有让进程显示出来。SDT没有被恢复?
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
最初由 softworm 发布 http://www.security.org.sg/code/sdtrestore.html 有源码
这个也没用,居然检测不出被HOOK的函数。
KeServiceDecriptorTable.ServiceTable 0
KeServiceDescriptorTable.ServiceLimit 0
提示居然是零,应该做过什么其它手脚。
|
能力值:
( LV13,RANK:530 )
|
-
-
17 楼
那你怎么肯定就是RING0 保护?
这种情况有可能是RING0+RING3
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
最初由 foxabu 发布 那你怎么肯定就是RING0 保护? 这种情况有可能是RING0+RING3
因为ICEWORD能看到他被HOOK的RING0函数
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
鸡蛋壳,貌似是很强的人呀,np恢复sdt会让你重起的,还是直接分析np的好
|
|
|