[讨论]第二阶段第二题-1)珠海金山2007逆向分析挑战赛-看雪-安全社区|安全招聘|kanxue.com

最新回复 (37) ◀ 1 2
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 26 楼用ZwQuerySystemInformation找到CrackMe.sys的模块地址, 用自己写的驱动patch CrackMe.sys中的判断跳转语句,使CrackMe.sys对OpenProcess的限制无效,就可以正常OpenProcess并TerminateProcess了上传的附件： k25.rar （31.09kb，50次下载） 2007-9-1 11:16 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 27 楼通过ntoskrl.exe找到真实函数地址,恢复原始SSDT,使OpenProcess正常工作上传的附件： k26.rar （34.90kb，72次下载） 2007-9-1 13:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 28 楼 PostMessage(hwnd,WM_KEYDOWN,VK_ESCAPE,0x40010001); PostMessage(hwnd,WM_KEYUP,VK_ESCAPE,0x80010001); 上传的附件： k27.rar （18.33kb，38次下载） 2007-9-2 00:38 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 29 楼 SetForegroundWindow把目标程序置前台 SetCursorPos把光标定位到右上角小叉的范围内 mouse_event点击鼠标左键上传的附件： k28.rar （20.82kb，45次下载） 2007-9-2 01:00 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 30 楼以PROCESS_DUP_HANDLE权限OpenProcess目标进程用DuplicateHandle把目标进程的pseudo句柄复制出来,可以是最大权限的然后就可以TerminateProcess了上传的附件： k29.rar （19.62kb，59次下载） 2007-9-2 02:08 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 31 楼用ProcessExplorer可以观察到目标进程内的线程句柄已经存在所以用DuplicateHandle循环把目标进程内每个句柄都假设成thread objects复制出来, 复制成功的都都执行TerminateThread操作,最后总会把那个真实的Thread结束掉上传的附件： k30.rar （17.98kb，52次下载） 2007-9-2 02:13 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 32 楼做个穷举用DuplicateHandle把目标进程内每个HANDLE复制出来, 其中会有一个是CrackMe.sys的设备句柄,(可以用ZwQueryObject判断一下句柄是否是需要的,我这里为了只说明原理,把ZwQueryObject简化掉了) 我简单对每个复制出来的句柄DeviceIoControl(hDupTmp, 0x830020C0, &dwMyPid, 4, NULL, 0, &dwBytesReturned, NULL); 这样就可以把CrackMe.sys所保护的pid换掉,目标进程就不被保护了最后就可以直接的OpenProcess并TerminateProcess了上传的附件： k31.rar （18.97kb，56次下载） 2007-9-2 11:02 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 33 楼这题太丑了,看了会让人发笑的如果有部分和别人不同的可以公开,其他不要公开了 2007-9-23 20:22 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 34 楼那就全留下来 2007-10-12 16:44 0
jatjtg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 81 粉丝 0 关注私信	jatjtg 35 楼看不懂,可以说说吗? 2007-10-12 18:11 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 36 楼支持偶像,太强大了!学习! 2007-10-12 18:48 0
七夕梦雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	七夕梦 37 楼还在做早操,汗,我不敢参加 2007-10-13 10:10 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 38 楼一个一个慢慢学习！ 2007-10-23 13:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (37) ◀ 1 2
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 26 楼用ZwQuerySystemInformation找到CrackMe.sys的模块地址, 用自己写的驱动patch CrackMe.sys中的判断跳转语句,使CrackMe.sys对OpenProcess的限制无效,就可以正常OpenProcess并TerminateProcess了上传的附件： k25.rar （31.09kb，50次下载） 2007-9-1 11:16 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 27 楼通过ntoskrl.exe找到真实函数地址,恢复原始SSDT,使OpenProcess正常工作上传的附件： k26.rar （34.90kb，72次下载） 2007-9-1 13:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 28 楼 PostMessage(hwnd,WM_KEYDOWN,VK_ESCAPE,0x40010001); PostMessage(hwnd,WM_KEYUP,VK_ESCAPE,0x80010001); 上传的附件： k27.rar （18.33kb，38次下载） 2007-9-2 00:38 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 29 楼 SetForegroundWindow把目标程序置前台 SetCursorPos把光标定位到右上角小叉的范围内 mouse_event点击鼠标左键上传的附件： k28.rar （20.82kb，45次下载） 2007-9-2 01:00 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 30 楼以PROCESS_DUP_HANDLE权限OpenProcess目标进程用DuplicateHandle把目标进程的pseudo句柄复制出来,可以是最大权限的然后就可以TerminateProcess了上传的附件： k29.rar （19.62kb，59次下载） 2007-9-2 02:08 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 31 楼用ProcessExplorer可以观察到目标进程内的线程句柄已经存在所以用DuplicateHandle循环把目标进程内每个句柄都假设成thread objects复制出来, 复制成功的都都执行TerminateThread操作,最后总会把那个真实的Thread结束掉上传的附件： k30.rar （17.98kb，52次下载） 2007-9-2 02:13 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 32 楼做个穷举用DuplicateHandle把目标进程内每个HANDLE复制出来, 其中会有一个是CrackMe.sys的设备句柄,(可以用ZwQueryObject判断一下句柄是否是需要的,我这里为了只说明原理,把ZwQueryObject简化掉了) 我简单对每个复制出来的句柄DeviceIoControl(hDupTmp, 0x830020C0, &dwMyPid, 4, NULL, 0, &dwBytesReturned, NULL); 这样就可以把CrackMe.sys所保护的pid换掉,目标进程就不被保护了最后就可以直接的OpenProcess并TerminateProcess了上传的附件： k31.rar （18.97kb，56次下载） 2007-9-2 11:02 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 33 楼这题太丑了,看了会让人发笑的如果有部分和别人不同的可以公开,其他不要公开了 2007-9-23 20:22 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 34 楼那就全留下来 2007-10-12 16:44 0
jatjtg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 81 粉丝 0 关注私信	jatjtg 35 楼看不懂,可以说说吗? 2007-10-12 18:11 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 36 楼支持偶像,太强大了!学习! 2007-10-12 18:48 0
七夕梦雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	七夕梦 37 楼还在做早操,汗,我不敢参加 2007-10-13 10:10 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 38 楼一个一个慢慢学习！ 2007-10-23 13:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复