第二阶段: 第二题:Patch的方法-1)珠海金山2007逆向分析挑战赛-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
benzeng 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	benzeng 2007-9-1 17:58 2 楼 0 ZwTerminateProcess方法: 在KillDrv.sys中: NtQuerySystemInformation -> PsLookupProcessByProcessId -> NtOpenProcess -> ZwTerminateProcess 上传的附件： Kill_ZwTerminateProcess.rar （36.95kb，13次下载）
benzeng 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	benzeng 2007-9-1 17:59 3 楼 0 欺骗CrackMe.sys方法: 因为CrackMe.sys只保护一个Process ID, 通过KillDrv调用CrackMe的IO 0X830020C0, 使它保护一个无用的 Process ID，这样就可以使用一般的TerminateProcess杀掉CrackMeApp。 KillDrv: ObReferenceObjectByName -> IoBuildSynchronousFsdRequest -> IoGetNextIrpStackLocation -> IoCallDriver Kill1: LoadKillDrv -> OpenProcess -> TerminateProcess 上传的附件： Kill_ProtectMe.rar （38.96kb，14次下载）
benzeng 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	benzeng 2007-9-1 18:00 4 楼 0 PostMessage方法: EnumWindows -> GetWindowText -> PostMessage(WM_QUIT) （这种方法算不算数呀，如果不算数我也没有意见，呵呵）上传的附件： Kill_Postmsg.rar （18.08kb，9次下载）
benzeng 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	benzeng 2007-9-2 12:09 5 楼 0 HOOK：　MmIsAddressValid 然后在堆栈中查找： (LONG)SYSTEMSERVICE(ZwOpenProcess) + ( 0x1173F - 0x11700 ) 上传的附件： Kill1_hook.rar （43.71kb，13次下载）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (4)
benzeng 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	benzeng 2007-9-1 17:58 2 楼 0 ZwTerminateProcess方法: 在KillDrv.sys中: NtQuerySystemInformation -> PsLookupProcessByProcessId -> NtOpenProcess -> ZwTerminateProcess 上传的附件： Kill_ZwTerminateProcess.rar （36.95kb，13次下载）
benzeng 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	benzeng 2007-9-1 17:59 3 楼 0 欺骗CrackMe.sys方法: 因为CrackMe.sys只保护一个Process ID, 通过KillDrv调用CrackMe的IO 0X830020C0, 使它保护一个无用的 Process ID，这样就可以使用一般的TerminateProcess杀掉CrackMeApp。 KillDrv: ObReferenceObjectByName -> IoBuildSynchronousFsdRequest -> IoGetNextIrpStackLocation -> IoCallDriver Kill1: LoadKillDrv -> OpenProcess -> TerminateProcess 上传的附件： Kill_ProtectMe.rar （38.96kb，14次下载）
benzeng 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	benzeng 2007-9-1 18:00 4 楼 0 PostMessage方法: EnumWindows -> GetWindowText -> PostMessage(WM_QUIT) （这种方法算不算数呀，如果不算数我也没有意见，呵呵）上传的附件： Kill_Postmsg.rar （18.08kb，9次下载）
benzeng 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 68 粉丝 0 关注私信	benzeng 2007-9-2 12:09 5 楼 0 HOOK：　MmIsAddressValid 然后在堆栈中查找： (LONG)SYSTEMSERVICE(ZwOpenProcess) + ( 0x1173F - 0x11700 ) 上传的附件： Kill1_hook.rar （43.71kb，13次下载）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复