[原创]firefly<>第二阶段<>第二题-1)珠海金山2007逆向分析挑战赛-看雪-安全社区|安全招聘|kanxue.com

[原创]firefly<>第二阶段<>第二题

发表于: 2007-9-1 18:06 6911

[原创]firefly<>第二阶段<>第二题

firefly

2007-9-1 18:06

6911

在Kill.exe通过DeviceIoControl向驱动传递CrackMeApp.exe的PID。
在驱动中通过PsLookupProcessByProcessId获取进程程的PEPROCESS；
之后通过ObOpenObjectByPointer获取进程句柄；然后通过ZwTerminateProcess终止进程。
由于CrackMeApp.exe使用驱动修改了SSDT的NtOpenProcess，所以只能通过ObOpenObjectByPointer
间接的获取hProcess。

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

#第二阶段◇第二题

上传的附件：

anwser.rar （26.71kb，20次下载）

收藏・1

免费

支持

最新回复 (1)
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 2 楼最先想到的就是这个方法，很简单，找到窗口，向其发送WM_CLOSE命令。 ring3的方法，简单，方便，有效。上传的附件： Kill2.rar （5.06kb，12次下载） 2007-9-1 18:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

firefly

发帖

321

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 2 楼最先想到的就是这个方法，很简单，找到窗口，向其发送WM_CLOSE命令。 ring3的方法，简单，方便，有效。上传的附件： Kill2.rar （5.06kb，12次下载） 2007-9-1 18:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]firefly<>第二阶段<>第二题

账号登录 验证码登录

账号登录

验证码登录