[原创]第二阶段第二题代码(比较弱)(看雪金山2007逆向分析挑战赛)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]第二阶段第二题代码(比较弱)(看雪金山2007逆向分析挑战赛)

发表于: 2007-9-2 12:02 6912

[原创]第二阶段第二题代码(比较弱)(看雪金山2007逆向分析挑战赛)

Aker

2007-9-2 12:02

6912

第二阶段第二题代码(比较弱)(看雪金山2007逆向分析挑战赛)

by aker
说老实话,第二题要想做的话，是个费时间的题目,不想动手去做很多,都是拷贝的代码,大家

随便看看吧.
使用IDA载入那个sys，发现没有做什么其他的，就是常规的工作，然后hook了NtOpenProcess

，这样你OpenProcess的时候，他判断是不是打开的自己，如果是就返回Deny。也就是说，只

是限制了你不能打开进程，获取句柄。原理这个帖子里面有，大家可以先看看那个;)
http://bbs.pediy.com/showthread.php?t=40832

既然只是HOOK了，那么发送WM_CLOSE等可以关闭，修复ssdt也可以关闭

下面是我的一些代码。

来个最简单的吧

#include <windows.h>

int main(int argc, char *argv[])
{
HWND hwin = FindWindow(NULL,"crackmeapp");
SendMessage(hwin,WM_CLOSE,0,0);
return 0;
}

// 窗口置前，发送alt f4
#include <windows.h>
#pragma comment(lib,"user32")
int main(int argc, char *argv[])
{
HWND hwin = FindWindow(NULL,"crackmeapp");

SetForegroundWindow(hwin); 
Sleep(20);
keybd_event(18,MapVirtualKey(18,0),0,0); 
keybd_event(115,MapVirtualKey(115,0),0,0); 
keybd_event(115,MapVirtualKey(115,0),KEYEVENTF_KEYUP,0); 
keybd_event(115,MapVirtualKey(115,0),0,0); 
keybd_event(115,MapVirtualKey(115,0),KEYEVENTF_KEYUP,0); 
keybd_event(18,MapVirtualKey(18,0),KEYEVENTF_KEYUP,0); 
return 0;
}

////////////头文件////////////////////////////////////////////////////////////

#include <stdio.h>
#include <windows.h>
#include <tlhelp32.h>

////////////宏定义////////////////////////////////////////////////////////////

////////////全局变量//////////////////////////////////////////////////////////

////////////函数定义//////////////////////////////////////////////////////////
DWORD WINAPI GetPIDbyName(LPTSTR lpName)
{
HANDLE m_Snap = INVALID_HANDLE_VALUE;
PROCESSENTRY32 pe = {sizeof(pe)};
DWORD ret = NULL;

{
m_Snap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);
if (m_Snap == INVALID_HANDLE_VALUE) goto finally; 
if (!Process32First(m_Snap, &pe)) goto finally;
do if(!lstrcmpi(pe.szExeFile,lpName)) 
{
ret = pe.th32ProcessID;
goto finally;
}
while (Process32Next(m_Snap, &pe)); 
}

finally: {
if (m_Snap != INVALID_HANDLE_VALUE) 
CloseHandle(m_Snap);
}
return ret;
}

bool TerminateAProcess(DWORD dwPid) 
{ 
HANDLE hThreadSnap = NULL; 
THREADENTRY32 te32; 
BOOL bThreadFind = FALSE; 
hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD,NULL); 
if(hThreadSnap) 
{ 
te32.dwSize = sizeof(THREADENTRY32); 
bThreadFind = Thread32First(hThreadSnap,&te32); 
while(bThreadFind) 
{ 
if(te32.th32OwnerProcessID == dwPid) 
{ 
HANDLE hThread = NULL; 
hThread = OpenThread(THREAD_ALL_ACCESS,FALSE,te32.th32ThreadID); 
if(hThread) 
{ 
TerminateThread(hThread,0); 
CloseHandle(hThread); 
} 
} 
te32.dwSize = sizeof(THREADENTRY32); 
bThreadFind = Thread32Next(hThreadSnap,&te32); 
} 
CloseHandle(hThreadSnap); 
} 
return TRUE; 
}

int main(int argc, char *argv[])
{
TerminateAProcess(GetPIDbyName("crackmeapp.exe"));
return 0;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・7

支持

最新回复 (13)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼最后两种只能够算一种。个人认为。我的虚拟机可能有问题WM_CLOSE发送会Access Denied。如果可以发WM_CLOSE 其实还有很多消息可以搞定包括 Wm_DESTROY 或者直接调API函数DestroyWindow 当然EndTask也是可以的。 2007-9-2 12:31 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 3 楼 DestroyWindow不行的... 2007-9-2 12:33 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 4 楼试过,不行!~~~~`` 2007-9-2 12:37 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 5 楼 windows是消息驱动的,所以消息不同自然是应该算不同的方法 2007-9-2 12:40 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 6 楼我的随便算几种;))就是个思路而已,大家都说说各自的思路啊 2007-9-2 12:40 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 7 楼我的思路跟你差不多 2007-9-2 12:45 0
ykzhujiang 雪币： 107 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	ykzhujiang 1 8 楼看了那个驱动代码，两个进程pid比较接近的时候可以ntopenprocess。所以可以hook PsGetCurrentProcessId 2007-9-2 12:50 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 9 楼帖代码咯,学习 ;)) 看了那个驱动代码，两个进程pid比较接近的时候可以ntopenprocess。所以可以hook PsGetCurrentProcessId 哪个驱动 2007-9-2 13:55 0
ykzhujiang 雪币： 107 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	ykzhujiang 1 10 楼就是CrackMe.sys mov edx, [ebp+arg_C] mov esi, [edx] and esi, 0FFFFFFFCh call PsGetCurrentProcessId cmp esi, eax jnz short loc_1177D 2007-9-2 14:03 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 11 楼 WM_NCDESTORY~~~ 2007-9-2 14:32 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 12 楼 writeprocessmemory() 2007-9-2 16:12 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 13 楼 hoho,贴一个学你的 DWORD bKill; HWND hwin = FindWindow(NULL,"CrackMeApp"); SendMessageTimeout(hwin, WM_CLOSE, 0, 0,0, 200, &bKill); 2007-9-2 20:18 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 14 楼 ~~~~~~~~~~~~~~~ 2007-9-2 20:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Aker

发帖

773

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼最后两种只能够算一种。个人认为。我的虚拟机可能有问题WM_CLOSE发送会Access Denied。如果可以发WM_CLOSE 其实还有很多消息可以搞定包括 Wm_DESTROY 或者直接调API函数DestroyWindow 当然EndTask也是可以的。 2007-9-2 12:31 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 3 楼 DestroyWindow不行的... 2007-9-2 12:33 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 4 楼试过,不行!~~~~`` 2007-9-2 12:37 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 5 楼 windows是消息驱动的,所以消息不同自然是应该算不同的方法 2007-9-2 12:40 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 6 楼我的随便算几种;))就是个思路而已,大家都说说各自的思路啊 2007-9-2 12:40 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 7 楼我的思路跟你差不多 2007-9-2 12:45 0
ykzhujiang 雪币： 107 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	ykzhujiang 1 8 楼看了那个驱动代码，两个进程pid比较接近的时候可以ntopenprocess。所以可以hook PsGetCurrentProcessId 2007-9-2 12:50 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 9 楼帖代码咯,学习 ;)) 看了那个驱动代码，两个进程pid比较接近的时候可以ntopenprocess。所以可以hook PsGetCurrentProcessId 哪个驱动 2007-9-2 13:55 0
ykzhujiang 雪币： 107 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 89 粉丝 0 关注私信	ykzhujiang 1 10 楼就是CrackMe.sys mov edx, [ebp+arg_C] mov esi, [edx] and esi, 0FFFFFFFCh call PsGetCurrentProcessId cmp esi, eax jnz short loc_1177D 2007-9-2 14:03 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 11 楼 WM_NCDESTORY~~~ 2007-9-2 14:32 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 12 楼 writeprocessmemory() 2007-9-2 16:12 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 13 楼 hoho,贴一个学你的 DWORD bKill; HWND hwin = FindWindow(NULL,"CrackMeApp"); SendMessageTimeout(hwin, WM_CLOSE, 0, 0,0, 200, &bKill); 2007-9-2 20:18 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 14 楼 ~~~~~~~~~~~~~~~ 2007-9-2 20:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复