首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
1)珠海金山2007逆向分析挑战赛
发新帖
1
0
[原创]firefly<>第二阶段<>第二题
发表于: 2007-9-1 18:06
6767
[原创]firefly<>第二阶段<>第二题
firefly
4
2007-9-1 18:06
6767
在Kill.exe通过DeviceIoControl向驱动传递CrackMeApp.exe的PID。
在驱动中通过PsLookupProcessByProcessId获取进程程的PEPROCESS;
之后通过ObOpenObjectByPointer获取进程句柄;然后通过ZwTerminateProcess终止进程。
由于CrackMeApp.exe使用驱动修改了SSDT的NtOpenProcess,所以只能通过ObOpenObjectByPointer
间接的获取hProcess。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
#第二阶段◇第二题
上传的附件:
anwser.rar
(26.71kb,20次下载)
收藏
・
1
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
1
)
firefly
雪 币:
260
活跃值:
(102)
能力值:
( LV9,RANK:170 )
在线值:
发帖
15
回帖
321
粉丝
0
关注
私信
firefly
4
2
楼
最先想到的就是这个方法,很简单,找到窗口,向其发送WM_CLOSE命令。
ring3的方法,简单,方便,有效。
上传的附件:
Kill2.rar
(5.06kb,12次下载)
2007-9-1 18:51
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
firefly
4
15
发帖
321
回帖
170
RANK
关注
私信
他的文章
[讨论]看雪论坛iPhone客户端开发工作
8358
[原创]OllyDBG插件QuickRun
6635
[分享]Bochs Emulator and IDA?
7296
[原创][firefly][第一阶段◇第一题]答案提交
2720
[原创]菜鸟手脱FSG2.0并修复导入表笔记
8812
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
kanxue
jmzz
zhuwg
firefly
变形虫
muliu
iamxiaolu
mavermaver
shineast
ccfer
hnbluehat
sslboy
neverqq
linshier
哈哈在世
bboyiori
linzehao
oootttnew
chhzh
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部
