[原创]内核态进程管理器Intercessor和实现细节-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]内核态进程管理器Intercessor和实现细节

发表于: 2007-9-5 20:20 25054

[原创]内核态进程管理器Intercessor和实现细节

greatcsk

2007-9-5 20:20

25054

显示进程模块 

CPU使用率统计 

内核进程描述 

内核态下实现进程的监控 

禁止系统运行某个可执行文件

进程创建或者退出自动刷新进程列表 

强制进程结束，通过直接调用NtTerminateProcess实现

登录后可查看完整内容

[注意]APP应用上架合规检测服务，协助应用顺利上架！

上传的附件：

PDE_1.gif （7.15kb，1364次下载）
PDE_2.gif （8.57kb，1353次下载）

收藏・37

免费・7

支持

最新回复 (24)
太挨球了雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	太挨球了 2 楼学习 2007-9-5 20:54 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼用EPROCESS跟用Createxxx一样吧…… 2007-9-5 21:02 0
greatcsk 雪币： 236 活跃值： (35) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 23 粉丝 3 关注私信	greatcsk 4 4 楼是不一样的，EPROCESS属于内核对象，Createxxx获取的是Handle 2007-9-5 21:04 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 5 楼 [QUOTE=;]...[/QUOTE] 很强大的牛人啊~~~~ 2007-9-5 22:53 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 6 楼个人觉得也差不到好多内核态一个API就可以实现转换 2007-9-5 23:01 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 7 楼嘿嘿，有漏网 2007-9-6 08:10 0
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 8 楼坛主,要加精啊! 2007-9-6 08:31 0
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 9 楼 :),报错了,操作系统windowsxp+sp2 上传的附件： snap.gif （5.70kb，1249次下载） 2007-9-6 08:35 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 10 楼 so strong. 你的PP搞得我以为我机器抱错了 2007-9-6 15:04 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 11 楼嗯，暴力搜索EPROCESS最稳当！ 2007-9-6 15:12 0
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 12 楼 too strong. 你的回复搞得我以为我迷糊了 2007-9-6 15:13 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 13 楼俺以前也编过类似的东东，可惜兼容性能不好，呵呵！上传的附件：进程管理器.rar （157.23kb，164次下载） 2007-9-6 15:16 0
greatcsk 雪币： 236 活跃值： (35) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 23 粉丝 3 关注私信	greatcsk 4 14 楼恩，那个搜索EPROCESS的算法还是有点问题的... 2007-9-6 15:40 0
四个螳螂雪币： 211 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 44 粉丝 0 关注私信	四个螳螂 1 15 楼暴力搜索这玩意判断标准不好说，容易误判的～抹去特征后就彻底废了。 2007-9-6 18:59 0
ylp1332 雪币： 281 活跃值： (3065) 能力值： ( LV12，RANK：610 ) 在线值：发帖 41 回帖 184 粉丝 3 关注私信	ylp1332 15 16 楼附件下载不了啊？ 2007-9-6 20:58 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 17 楼绕道搜索TRHEAD，特征使用DISPATCH_HEADER中和页目录。或者自己HOOK掉SwapContext来过滤吧，也简单 2007-9-6 21:01 0
ylp1332 雪币： 281 活跃值： (3065) 能力值： ( LV12，RANK：610 ) 在线值：发帖 41 回帖 184 粉丝 3 关注私信	ylp1332 15 18 楼附件下载不了！楼主把附件贴过来吧，谢了 2007-9-6 21:33 0
greatcsk 雪币： 236 活跃值： (35) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 23 粉丝 3 关注私信	greatcsk 4 19 楼好的，我马上修改帖子 2007-9-6 22:06 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 20 楼似乎Intercessor并不是很喜欢我的机器 :P eprocess结构并非只会出现在0x8xxxxxxx，也会出现在扩展未分页缓冲池中 :) 上传的附件：未命名.PNG （33.71kb，203次下载） 2007-9-28 19:56 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 21 楼好文。。。。。顶起。 2007-9-28 20:16 0
angeljyt 雪币： 222 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	angeljyt 3 22 楼哭,打开就盖茨大叔就给我蓝脸看 2007-9-28 22:24 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 23 楼姑且不说那些EPROCESS为0xF*******的进程。小小的技巧就能突破。作者应该改进下。在同时IS运行结果。才发现。。。Explorer.exe也米出来哦。上传的附件： pass.jpg （158.99kb，186次下载） 2.jpg （164.70kb，185次下载） 2007-10-2 16:50 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 24 楼 ls不和谐。 2007-10-2 22:12 0
十年后不是你雪币： 256 活跃值： (382) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	十年后不是你 25 楼可以在更新一下下载地址吗 2021-4-21 11:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

greatcsk

发帖

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
太挨球了雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	太挨球了 2 楼学习 2007-9-5 20:54 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼用EPROCESS跟用Createxxx一样吧…… 2007-9-5 21:02 0
greatcsk 雪币： 236 活跃值： (35) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 23 粉丝 3 关注私信	greatcsk 4 4 楼是不一样的，EPROCESS属于内核对象，Createxxx获取的是Handle 2007-9-5 21:04 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 5 楼 [QUOTE=;]...[/QUOTE] 很强大的牛人啊~~~~ 2007-9-5 22:53 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 6 楼个人觉得也差不到好多内核态一个API就可以实现转换 2007-9-5 23:01 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 7 楼嘿嘿，有漏网 2007-9-6 08:10 0
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 8 楼坛主,要加精啊! 2007-9-6 08:31 0
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 9 楼 :),报错了,操作系统windowsxp+sp2 上传的附件： snap.gif （5.70kb，1249次下载） 2007-9-6 08:35 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 10 楼 so strong. 你的PP搞得我以为我机器抱错了 2007-9-6 15:04 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 11 楼嗯，暴力搜索EPROCESS最稳当！ 2007-9-6 15:12 0
老纳雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 0 关注私信	老纳 12 楼 too strong. 你的回复搞得我以为我迷糊了 2007-9-6 15:13 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 13 楼俺以前也编过类似的东东，可惜兼容性能不好，呵呵！上传的附件：进程管理器.rar （157.23kb，164次下载） 2007-9-6 15:16 0
greatcsk 雪币： 236 活跃值： (35) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 23 粉丝 3 关注私信	greatcsk 4 14 楼恩，那个搜索EPROCESS的算法还是有点问题的... 2007-9-6 15:40 0
四个螳螂雪币： 211 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 44 粉丝 0 关注私信	四个螳螂 1 15 楼暴力搜索这玩意判断标准不好说，容易误判的～抹去特征后就彻底废了。 2007-9-6 18:59 0
ylp1332 雪币： 281 活跃值： (3065) 能力值： ( LV12，RANK：610 ) 在线值：发帖 41 回帖 184 粉丝 3 关注私信	ylp1332 15 16 楼附件下载不了啊？ 2007-9-6 20:58 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 17 楼绕道搜索TRHEAD，特征使用DISPATCH_HEADER中和页目录。或者自己HOOK掉SwapContext来过滤吧，也简单 2007-9-6 21:01 0
ylp1332 雪币： 281 活跃值： (3065) 能力值： ( LV12，RANK：610 ) 在线值：发帖 41 回帖 184 粉丝 3 关注私信	ylp1332 15 18 楼附件下载不了！楼主把附件贴过来吧，谢了 2007-9-6 21:33 0
greatcsk 雪币： 236 活跃值： (35) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 23 粉丝 3 关注私信	greatcsk 4 19 楼好的，我马上修改帖子 2007-9-6 22:06 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 20 楼似乎Intercessor并不是很喜欢我的机器 :P eprocess结构并非只会出现在0x8xxxxxxx，也会出现在扩展未分页缓冲池中 :) 上传的附件：未命名.PNG （33.71kb，203次下载） 2007-9-28 19:56 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 21 楼好文。。。。。顶起。 2007-9-28 20:16 0
angeljyt 雪币： 222 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	angeljyt 3 22 楼哭,打开就盖茨大叔就给我蓝脸看 2007-9-28 22:24 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 23 楼姑且不说那些EPROCESS为0xF*******的进程。小小的技巧就能突破。作者应该改进下。在同时IS运行结果。才发现。。。Explorer.exe也米出来哦。上传的附件： pass.jpg （158.99kb，186次下载） 2.jpg （164.70kb，185次下载） 2007-10-2 16:50 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 24 楼 ls不和谐。 2007-10-2 22:12 0
十年后不是你雪币： 256 活跃值： (382) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	十年后不是你 25 楼可以在更新一下下载地址吗 2021-4-21 11:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复