首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 1)珠海金山2007逆向分析挑战赛
    3. 发新帖
[原创]第二阶段第二题
2007-8-30 18:06 6139

[原创]第二阶段第二题

老纳 活跃值
2007-8-30 18:06
6139
拼凑的一些文件,以前逆向knlps的,方法也是按照它实现的。
原理是从handle table中通过pid查找该进程的EPROCESS,再attach之,最后ZwTerminateProcess。

附件中是exe和sys的源文件及可执行文件,BSOD了概不负责哈

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
点赞0
打赏
分享
最新回复 (7)
老纳
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
老纳 2007-8-30 20:43
2
0
找到窗口句柄,再发送WM_CLOSE
上传的附件:
老纳
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
老纳 2007-8-31 10:29
3
0
远线程注入
上传的附件:
老纳
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
老纳 2007-8-31 10:46
4
0
m3也是需要输入参数,CrackMe.exe的PID,程序没做检查,忘了
老纳
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
老纳 2007-8-31 13:25
5
0
找到CrackMeApp的窗口,再前置激活,再发送“alt+space+c"的keystroke
上传的附件:
老纳
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
老纳 2007-8-31 16:16
6
0
模拟鼠标操作,和发送按键差不多,纯粹玩
上传的附件:
老纳
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
老纳 2007-8-31 17:21
7
0
PostMessage( hWnd, WM_QUIT, 0, 0 );
上传的附件:
老纳
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
老纳 2007-9-1 10:24
8
0
PsLookupProcessByProcessId再attach再xx之
上传的附件:
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回