首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
看雪社区
1)珠海金山2007逆向分析挑战赛
发新帖
1
0
[原创]firefly<>第二阶段<>第二题
2007-9-1 18:06
6564
[原创]firefly<>第二阶段<>第二题
firefly
4
2007-9-1 18:06
6564
在Kill.exe通过DeviceIoControl向驱动传递CrackMeApp.exe的PID。
在驱动中通过PsLookupProcessByProcessId获取进程程的PEPROCESS;
之后通过ObOpenObjectByPointer获取进程句柄;然后通过ZwTerminateProcess终止进程。
由于CrackMeApp.exe使用驱动修改了SSDT的NtOpenProcess,所以只能通过ObOpenObjectByPointer
间接的获取hProcess。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
#第二阶段◇第二题
上传的附件:
anwser.rar
(26.71kb,20次下载)
收藏
・
1
点赞
・
0
打赏
分享
分享到微信
分享到QQ
分享到微博
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
1
)
firefly
雪 币:
260
活跃值:
(102)
能力值:
( LV9,RANK:170 )
在线值:
发帖
15
回帖
317
粉丝
0
关注
私信
firefly
4
2007-9-1 18:51
2
楼
0
最先想到的就是这个方法,很简单,找到窗口,向其发送WM_CLOSE命令。
ring3的方法,简单,方便,有效。
上传的附件:
Kill2.rar
(5.06kb,12次下载)
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
firefly
4
15
发帖
317
回帖
170
RANK
关注
私信
他的文章
[讨论]看雪论坛iPhone客户端开发工作
7646
[原创]OllyDBG插件QuickRun
6354
[分享]Bochs Emulator and IDA?
6799
[原创][firefly][第一阶段◇第一题]答案提交
2520
[原创]菜鸟手脱FSG2.0并修复导入表笔记
8035
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
kanxue
jmzz
zhuwg
firefly
变形虫
muliu
iamxiaolu
mavermaver
shineast
ccfer
hnbluehat
sslboy
neverqq
linshier
哈哈在世
bboyiori
linzehao
oootttnew
chhzh
看原图
返回
顶部
