[讨论]第二阶段第二题-1)珠海金山2007逆向分析挑战赛-看雪-安全社区|安全招聘|kanxue.com

[讨论]第二阶段第二题

发表于: 2007-8-30 15:49 40688

[讨论]第二阶段第二题

ccfer

2007-8-30 15:49

40688

SetWindowsHookEx
hook.dll注入后在目标进程内ExitProcess

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#第二阶段◇第二题

上传的附件：

k1.rar （32.93kb，98次下载）

收藏・3

免费・0

支持

最新回复 (37) 1 2 ▶
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 2 楼 SetWinEventHook hook.dll注入后在目标进程内ExitProcess 上传的附件： k2.rar （33.43kb，86次下载） 2007-8-30 15:53 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 3 楼用keybd_event发送VK_RETURN 上传的附件： k3.rar （13.89kb，63次下载） 2007-8-30 17:28 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 4 楼用keybd_event发送VK_ESCAPE 上传的附件： k4.rar （14.14kb，58次下载） 2007-8-30 17:30 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 5 楼用keybd_event发送ALT+F4 上传的附件： k5.rar （14.14kb，60次下载） 2007-8-30 17:31 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 6 楼用SendInput发送VK_RETURN键盘事件上传的附件： k6.rar （14.17kb，57次下载） 2007-8-30 17:35 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 7 楼用SendInput发送VK_ESCAPE键盘事件上传的附件： k7.rar （14.20kb，47次下载） 2007-8-30 17:38 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 8 楼用SendInput发送ALT+F4键盘事件这样排列组合来凑数，我都有点不好意思了啊，规则啊很难制定的完美 INT 2E 还可以组合出3个键盘方式的，先保留吧，如果后面不够了再用吧上传的附件： k8.rar （14.24kb，59次下载） 2007-8-30 17:45 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 9 楼用驱动方式通过先PsLookupProcessByProcessId，再ObOpenObjectByPointer取得进程句柄，然后直接TerminateProcess 上传的附件： k9.rar （26.02kb，77次下载） 2007-8-31 18:40 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 10 楼使用驱动修改PTE改变目标进程代码段具有可写属性，并在驱动内修改目标进程某处频繁经过的代码，原来是调用MFC的函数，替换成MSVCRT的_exit，使进程自动退出上传的附件： k10.rar （23.03kb，62次下载） 2007-8-31 19:19 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 11 楼 crackme的驱动屏蔽了OpenProcess的PROCESS_TERMINATE和PROCESS_VM_WRITE权限,但是用其他权限还是可以打开进程的. 所以可以实现: hProc = OpenProcess(PROCESS_CREATE_THREAD\|PROCESS_VM_OPERATION,0,dwPid); 再用CreateRemoteThread去结束目标进程. 上传的附件： k11.rar （17.75kb，54次下载） 2007-8-31 20:47 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 12 楼 DWORD Tid = GetWindowThreadProcessId(hwnd,&dwProcessID); HANDLE hThread = OpenThread(THREAD_ALL_ACCESS,FALSE,Tid); TerminateThread(hThread,0); 上传的附件： k12.rar （20.70kb，46次下载） 2007-8-31 21:47 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 13 楼 SendMessage(hwnd,WM_CLOSE,0,0); 上传的附件： k13.rar （15.36kb，76次下载） 2007-8-31 21:51 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 14 楼 SendNotifyMessage(hwnd,WM_CLOSE,0,0); 上传的附件： k14.rar （16.17kb，39次下载） 2007-8-31 21:59 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 15 楼 SendMessageTimeout(hwnd,WM_CLOSE,0,0,SMTO_NORMAL,2000,NULL); 上传的附件： k15.rar （16.16kb，46次下载） 2007-8-31 22:00 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 16 楼 SendMessageCallback(hwnd,WM_CLOSE,0,0,NULL,0); 上传的附件： k16.rar （16.23kb，45次下载） 2007-8-31 22:01 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 17 楼 PostMessage(hwnd,WM_CLOSE,0,0); 上传的附件： k17.rar （16.23kb，39次下载） 2007-8-31 22:02 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 18 楼 SendMessage(hwnd,WM_SYSCOMMAND,SC_CLOSE,0); 上传的附件： k18.rar （16.16kb，39次下载） 2007-8-31 22:03 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 19 楼 SendNotifyMessage(hwnd,WM_SYSCOMMAND,SC_CLOSE,0); 上传的附件： k19.rar （16.17kb，39次下载） 2007-8-31 22:04 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 20 楼 SendMessageTimeout(hwnd,WM_SYSCOMMAND,SC_CLOSE,0,SMTO_NORMAL,2000,NULL); 上传的附件： k20.rar （16.24kb，40次下载） 2007-8-31 22:06 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 21 楼 SendMessageCallback(hwnd,WM_SYSCOMMAND,SC_CLOSE,0,NULL,0); 上传的附件： k21.rar （16.17kb，40次下载） 2007-8-31 22:07 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 22 楼 PostMessage(hwnd,WM_SYSCOMMAND,SC_CLOSE,0); 上传的附件： k22.rar （16.17kb，37次下载） 2007-8-31 22:09 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 23 楼 CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)先找到目标进程的ID, 再CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, dwPid)找到目标进程内的线程ID, 最后TerminateThread结束线程 2007-8-31 23:19 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 24 楼前面的附件没传上去上传的附件： k23.rar （19.03kb，40次下载） 2007-8-31 23:21 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 25 楼用驱动获取进程句柄 CreateJobObject AssignProcessToJobObject TerminateJobObject 上传的附件： k24.rar （27.75kb，58次下载） 2007-9-1 00:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ccfer

发帖

1529

回帖

2473

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (37) 1 2 ▶
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 2 楼 SetWinEventHook hook.dll注入后在目标进程内ExitProcess 上传的附件： k2.rar （33.43kb，86次下载） 2007-8-30 15:53 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 3 楼用keybd_event发送VK_RETURN 上传的附件： k3.rar （13.89kb，63次下载） 2007-8-30 17:28 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 4 楼用keybd_event发送VK_ESCAPE 上传的附件： k4.rar （14.14kb，58次下载） 2007-8-30 17:30 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 5 楼用keybd_event发送ALT+F4 上传的附件： k5.rar （14.14kb，60次下载） 2007-8-30 17:31 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 6 楼用SendInput发送VK_RETURN键盘事件上传的附件： k6.rar （14.17kb，57次下载） 2007-8-30 17:35 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 7 楼用SendInput发送VK_ESCAPE键盘事件上传的附件： k7.rar （14.20kb，47次下载） 2007-8-30 17:38 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 8 楼用SendInput发送ALT+F4键盘事件这样排列组合来凑数，我都有点不好意思了啊，规则啊很难制定的完美 INT 2E 还可以组合出3个键盘方式的，先保留吧，如果后面不够了再用吧上传的附件： k8.rar （14.24kb，59次下载） 2007-8-30 17:45 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 9 楼用驱动方式通过先PsLookupProcessByProcessId，再ObOpenObjectByPointer取得进程句柄，然后直接TerminateProcess 上传的附件： k9.rar （26.02kb，77次下载） 2007-8-31 18:40 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 10 楼使用驱动修改PTE改变目标进程代码段具有可写属性，并在驱动内修改目标进程某处频繁经过的代码，原来是调用MFC的函数，替换成MSVCRT的_exit，使进程自动退出上传的附件： k10.rar （23.03kb，62次下载） 2007-8-31 19:19 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 11 楼 crackme的驱动屏蔽了OpenProcess的PROCESS_TERMINATE和PROCESS_VM_WRITE权限,但是用其他权限还是可以打开进程的. 所以可以实现: hProc = OpenProcess(PROCESS_CREATE_THREAD\|PROCESS_VM_OPERATION,0,dwPid); 再用CreateRemoteThread去结束目标进程. 上传的附件： k11.rar （17.75kb，54次下载） 2007-8-31 20:47 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 12 楼 DWORD Tid = GetWindowThreadProcessId(hwnd,&dwProcessID); HANDLE hThread = OpenThread(THREAD_ALL_ACCESS,FALSE,Tid); TerminateThread(hThread,0); 上传的附件： k12.rar （20.70kb，46次下载） 2007-8-31 21:47 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 13 楼 SendMessage(hwnd,WM_CLOSE,0,0); 上传的附件： k13.rar （15.36kb，76次下载） 2007-8-31 21:51 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 14 楼 SendNotifyMessage(hwnd,WM_CLOSE,0,0); 上传的附件： k14.rar （16.17kb，39次下载） 2007-8-31 21:59 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 15 楼 SendMessageTimeout(hwnd,WM_CLOSE,0,0,SMTO_NORMAL,2000,NULL); 上传的附件： k15.rar （16.16kb，46次下载） 2007-8-31 22:00 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 16 楼 SendMessageCallback(hwnd,WM_CLOSE,0,0,NULL,0); 上传的附件： k16.rar （16.23kb，45次下载） 2007-8-31 22:01 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 17 楼 PostMessage(hwnd,WM_CLOSE,0,0); 上传的附件： k17.rar （16.23kb，39次下载） 2007-8-31 22:02 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 18 楼 SendMessage(hwnd,WM_SYSCOMMAND,SC_CLOSE,0); 上传的附件： k18.rar （16.16kb，39次下载） 2007-8-31 22:03 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 19 楼 SendNotifyMessage(hwnd,WM_SYSCOMMAND,SC_CLOSE,0); 上传的附件： k19.rar （16.17kb，39次下载） 2007-8-31 22:04 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 20 楼 SendMessageTimeout(hwnd,WM_SYSCOMMAND,SC_CLOSE,0,SMTO_NORMAL,2000,NULL); 上传的附件： k20.rar （16.24kb，40次下载） 2007-8-31 22:06 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 21 楼 SendMessageCallback(hwnd,WM_SYSCOMMAND,SC_CLOSE,0,NULL,0); 上传的附件： k21.rar （16.17kb，40次下载） 2007-8-31 22:07 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 22 楼 PostMessage(hwnd,WM_SYSCOMMAND,SC_CLOSE,0); 上传的附件： k22.rar （16.17kb，37次下载） 2007-8-31 22:09 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 23 楼 CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)先找到目标进程的ID, 再CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, dwPid)找到目标进程内的线程ID, 最后TerminateThread结束线程 2007-8-31 23:19 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 24 楼前面的附件没传上去上传的附件： k23.rar （19.03kb，40次下载） 2007-8-31 23:21 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 25 楼用驱动获取进程句柄 CreateJobObject AssignProcessToJobObject TerminateJobObject 上传的附件： k24.rar （27.75kb，58次下载） 2007-9-1 00:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复