[结束][第二阶段◇第二题]看雪论坛.珠海金山2007逆向分析挑战赛-1)珠海金山2007逆向分析挑战赛-看雪-安全社区|安全招聘|kanxue.com

[结束][第二阶段◇第二题]看雪论坛.珠海金山2007逆向分析挑战赛

发表于: 2007-8-30 11:59 169749

[结束][第二阶段◇第二题]看雪论坛.珠海金山2007逆向分析挑战赛

笨笨雄

2007-8-30 11:59

169749

查看主题内容

收藏・16

免费・0

支持

最新回复 (116) ◀ 1 2 3 4 5 ▶
DiKeN 雪币： 1126 活跃值： (156) 能力值： ( LV9，RANK：210 ) 在线值：发帖 28 回帖 189 粉丝 5 关注私信	DiKeN 5 76 楼由评委从原理上区分参赛者提交的答案是否算是一种方法!! 这怎么决定啊？个人觉得这没法说明问题。 A->B->Z C->B->Z A->D->Z C->E->D->Z F->G->E->B->Z H->G->D->Z I->J->K->L->Z 你们说从哪儿看是不是同一种方法同一个原理？最终实现是这样的。 AThread = PsGetNextProcessThread(NULL); while (AThread != NULL) { PspTerminateThreadByPointer(AThread, ExitStatus); AThread = PsGetNextProcessThread(AThread); }; PspTerminateThreadByPointer(MainThread); 当然还有个别其他的办法，比方说类似于ObKillProcess之类的封装。但是总之，最终以哪级为标准很重要。通常办法 Handle->TerminateProcess(); ExitProcess(); 等，当然还有其他类似的方法，但是总体来说很难说了。即使得到Handle也有好多种办法这东西太主观了啊。没有个客观的方法。光用驱动打补丁也都有好几种办法。而控制驱动又有好几种办法。这样下去怎么算是一种还是不一种啊？ 2007-8-30 21:03 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 77 楼编程其实就像作文，评分是看阅卷者的 2007-8-30 21:07 0
jhjzero 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 1 关注私信	jhjzero 1 78 楼哎呀，记错日期，来晚了，刚看到题 2007-8-31 00:05 0
hlmdwj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hlmdwj 79 楼虽然没有参赛，但一直在关注，感觉只有第一题还有点意思，以后好象一个不如一个，希望下一个题有点水准。 2007-8-31 07:58 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 80 楼 kanxue 请进来确认一下现在的规则是不是最终规则 2007-8-31 08:40 0
xqx 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	xqx 81 楼这题不好玩， bughoho ：我申请加入 2007-8-31 09:05 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 82 楼是不好玩，不过俺还是提交了几种，请确认 2007-8-31 09:34 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 83 楼海风月影不是病毒组织的么？（疑惑ing） 2007-8-31 09:38 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 84 楼病毒组织也可以来看雪啊 2007-8-31 09:40 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 85 楼这么早就在网上了，每天都得准时上班呀？ 2007-8-31 09:48 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 86 楼 [QUOTE=;]...[/QUOTE] 早啊!~~~ 2007-8-31 10:32 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 87 楼今天才回来,找到一个机子，点击蓝屏了 2007-8-31 11:22 0
zmworm 雪币： 5340 活跃值： (598) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 308 粉丝 10 关注私信	zmworm 4 88 楼能否把windows\minidump下的dump文件提交上来？？ 2007-8-31 11:37 0
null 雪币： 109 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 55 粉丝 1 关注私信	null 1 89 楼支持 win2k 的要求被去掉了？那我的程序直接执行 taskkill.exe /F /IM CrackMe.exe 是不是也算一种方法啊？ 2007-8-31 11:55 0
pcasa 雪币： 105 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 21 回帖 133 粉丝 0 关注私信	pcasa 2 90 楼我写了两种，请确认 2007-8-31 13:05 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 91 楼 15种方法提交了。。。快确认一下 2007-8-31 16:58 0
四个螳螂雪币： 211 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 44 粉丝 0 关注私信	四个螳螂 1 92 楼刀客,,,好快,,好快..很好,,很强大 2007-8-31 18:54 0
icefall 雪币： 154 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 156 粉丝 0 关注私信	icefall 1 93 楼我发了一种,呵呵已经没时间继续发了 2007-8-31 19:39 0
Boneasher 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 70 粉丝 0 关注私信	Boneasher 94 楼提交了4个了。 2007-8-31 20:25 0
mscto 雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	mscto 95 楼其实就是HOOK了NTOPENPROCESS，没劲 2007-9-1 00:13 0
四个螳螂雪币： 211 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 44 粉丝 0 关注私信	四个螳螂 1 96 楼写说明累死了~~已提交15种 2007-9-1 00:55 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 97 楼好累确认一下。提交了21种。驱动下的不想写了。 2007-9-1 06:02 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 98 楼越来越艰难了。总算是搞定了，提交一种方法。 2007-9-1 18:08 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 99 楼那个机子禁用了转储,公用机器 2007-9-1 19:07 0
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 100 楼好大，非常好 2007-9-1 19:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

笨笨雄

212

发帖

3620

回帖

570

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (116) ◀ 1 2 3 4 5 ▶
DiKeN 雪币： 1126 活跃值： (156) 能力值： ( LV9，RANK：210 ) 在线值：发帖 28 回帖 189 粉丝 5 关注私信	DiKeN 5 76 楼由评委从原理上区分参赛者提交的答案是否算是一种方法!! 这怎么决定啊？个人觉得这没法说明问题。 A->B->Z C->B->Z A->D->Z C->E->D->Z F->G->E->B->Z H->G->D->Z I->J->K->L->Z 你们说从哪儿看是不是同一种方法同一个原理？最终实现是这样的。 AThread = PsGetNextProcessThread(NULL); while (AThread != NULL) { PspTerminateThreadByPointer(AThread, ExitStatus); AThread = PsGetNextProcessThread(AThread); }; PspTerminateThreadByPointer(MainThread); 当然还有个别其他的办法，比方说类似于ObKillProcess之类的封装。但是总之，最终以哪级为标准很重要。通常办法 Handle->TerminateProcess(); ExitProcess(); 等，当然还有其他类似的方法，但是总体来说很难说了。即使得到Handle也有好多种办法这东西太主观了啊。没有个客观的方法。光用驱动打补丁也都有好几种办法。而控制驱动又有好几种办法。这样下去怎么算是一种还是不一种啊？ 2007-8-30 21:03 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 77 楼编程其实就像作文，评分是看阅卷者的 2007-8-30 21:07 0
jhjzero 雪币： 212 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 1 关注私信	jhjzero 1 78 楼哎呀，记错日期，来晚了，刚看到题 2007-8-31 00:05 0
hlmdwj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hlmdwj 79 楼虽然没有参赛，但一直在关注，感觉只有第一题还有点意思，以后好象一个不如一个，希望下一个题有点水准。 2007-8-31 07:58 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 80 楼 kanxue 请进来确认一下现在的规则是不是最终规则 2007-8-31 08:40 0
xqx 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	xqx 81 楼这题不好玩， bughoho ：我申请加入 2007-8-31 09:05 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 82 楼是不好玩，不过俺还是提交了几种，请确认 2007-8-31 09:34 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 83 楼海风月影不是病毒组织的么？（疑惑ing） 2007-8-31 09:38 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 84 楼病毒组织也可以来看雪啊 2007-8-31 09:40 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 85 楼这么早就在网上了，每天都得准时上班呀？ 2007-8-31 09:48 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 86 楼 [QUOTE=;]...[/QUOTE] 早啊!~~~ 2007-8-31 10:32 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 87 楼今天才回来,找到一个机子，点击蓝屏了 2007-8-31 11:22 0
zmworm 雪币： 5340 活跃值： (598) 能力值： (RANK：170 ) 在线值：发帖 45 回帖 308 粉丝 10 关注私信	zmworm 4 88 楼能否把windows\minidump下的dump文件提交上来？？ 2007-8-31 11:37 0
null 雪币： 109 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 55 粉丝 1 关注私信	null 1 89 楼支持 win2k 的要求被去掉了？那我的程序直接执行 taskkill.exe /F /IM CrackMe.exe 是不是也算一种方法啊？ 2007-8-31 11:55 0
pcasa 雪币： 105 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 21 回帖 133 粉丝 0 关注私信	pcasa 2 90 楼我写了两种，请确认 2007-8-31 13:05 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 91 楼 15种方法提交了。。。快确认一下 2007-8-31 16:58 0
四个螳螂雪币： 211 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 44 粉丝 0 关注私信	四个螳螂 1 92 楼刀客,,,好快,,好快..很好,,很强大 2007-8-31 18:54 0
icefall 雪币： 154 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 156 粉丝 0 关注私信	icefall 1 93 楼我发了一种,呵呵已经没时间继续发了 2007-8-31 19:39 0
Boneasher 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 70 粉丝 0 关注私信	Boneasher 94 楼提交了4个了。 2007-8-31 20:25 0
mscto 雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	mscto 95 楼其实就是HOOK了NTOPENPROCESS，没劲 2007-9-1 00:13 0
四个螳螂雪币： 211 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 44 粉丝 0 关注私信	四个螳螂 1 96 楼写说明累死了~~已提交15种 2007-9-1 00:55 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 97 楼好累确认一下。提交了21种。驱动下的不想写了。 2007-9-1 06:02 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 98 楼越来越艰难了。总算是搞定了，提交一种方法。 2007-9-1 18:08 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 99 楼那个机子禁用了转储,公用机器 2007-9-1 19:07 0
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 100 楼好大，非常好 2007-9-1 19:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复