[讨论]一个不能被兵刃 RKU等工具结束进程的小程序。-资源下载-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
鸡蛋壳雪币： 421 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2007-11-9 19:23 2 楼 0 使用方法:启动后，点保护按钮，然后再尝试杀本进程。
gyfhgyfh 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 54 粉丝 0 关注私信	gyfhgyfh 2007-11-9 19:57 3 楼 0 VB ??? ...... SetErrorMode GetProcAddress GetVersionExA GetCurrentProcess AdjustTokenPrivileges OpenProcessToken LookupPrivilegeValueA ...... CallWindowProcA : 拒绝访问。
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 319 粉丝 1 关注私信	炉子 3 2007-11-9 20:36 4 楼 0 瞧不起这种转载不注明出处的
chinaruto 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	chinaruto 2007-11-9 21:04 5 楼 0 可能他也不知道是谁写的。那东西已经被转遍了，不一定是在哪转的。
鸡蛋壳雪币： 421 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2007-11-9 21:56 6 楼 0 某人分析: NtSystemDebugControl读写的内存~~ 关键代码如下: .text:00402F6B mov ecx, [ecx+0Ch] .text:00402F6E or ebx, 0FFFFFFFFh .text:00402F71 mov edx, [ecx+eax] .text:00402F74 mov eax, [esi+170h] .text:00402F7A add eax, 248h .text:00402F7F mov [esi+16Ch], edx .text:00402F85 jo loc_40319E .text:00402F85 .text:00402F8B push eax .text:00402F8C mov [ebp-1Ch], ebx .text:00402F8F call ReadSysMem .text:00402F8F .text:00402F94 mov ecx, [esi+16Ch] .text:00402F9A push 10h .text:00402F9C add ecx, 248h .text:00402FA2 mov [esi+180h], eax .text:00402FA8 jo loc_40319E .text:00402FA8 .text:00402FAE push ecx .text:00402FAF call WriteSysMem 即是将Thread->CrossThreadFlags设为0x10h(PS_CROSS_THREAD_FLAGS_SYSTEM) 硬编码XXXX 参考PSPXXXXXTHREAD的代码 NTSTATUS PspTerminateThreadByPointer( IN PETHREAD Thread, IN NTSTATUS ExitStatus, IN BOOLEAN DirectTerminate ) /++ Routine Description: This function causes the specified thread to terminate. Arguments: ThreadHandle - Supplies a referenced pointer to the thread to terminate. ExitStatus - Supplies the exit status associated with the thread. DirectTerminate - TRUE is its ok to exit without queing an APC, FALSE otherwise --/ { NTSTATUS Status; PKAPC ExitApc=NULL; ULONG OldMask; PAGED_CODE(); if (Thread->CrossThreadFlags & PS_CROSS_THREAD_FLAGS_BREAK_ON_TERMINATION) { PspCatchCriticalBreak("Terminating critical thread 0x%p (in %s)\n", Thread, THREAD_TO_PROCESS(Thread)->ImageFileName); } if (DirectTerminate && Thread == PsGetCurrentThread()) { ASSERT (KeGetCurrentIrql() < APC_LEVEL); PS_SET_BITS (&Thread->CrossThreadFlags, PS_CROSS_THREAD_FLAGS_TERMINATED); PspExitThread (ExitStatus); // // Never Returns // } else { // // Cross thread deletion of system threads won't work. // if (IS_SYSTEM_THREAD (Thread)) { return STATUS_ACCESS_DENIED; }
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 444 粉丝 1 关注私信	fffddd 2007-11-10 21:18 7 楼 0 哈哈，好久没看到鸡蛋了。一来就搞这么多花样。
loveboom 雪币： 513 活跃值： (2228) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 99 回帖 685 粉丝 10 关注私信	loveboom 53 2007-11-10 22:26 8 楼 0 好旧的东西,早有人说怎么破解了.这种硬编码方式只能在xp系统上正常，。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (7)
鸡蛋壳雪币： 421 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2007-11-9 19:23 2 楼 0 使用方法:启动后，点保护按钮，然后再尝试杀本进程。
gyfhgyfh 雪币： 213 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 54 粉丝 0 关注私信	gyfhgyfh 2007-11-9 19:57 3 楼 0 VB ??? ...... SetErrorMode GetProcAddress GetVersionExA GetCurrentProcess AdjustTokenPrivileges OpenProcessToken LookupPrivilegeValueA ...... CallWindowProcA : 拒绝访问。
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 319 粉丝 1 关注私信	炉子 3 2007-11-9 20:36 4 楼 0 瞧不起这种转载不注明出处的
chinaruto 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	chinaruto 2007-11-9 21:04 5 楼 0 可能他也不知道是谁写的。那东西已经被转遍了，不一定是在哪转的。
鸡蛋壳雪币： 421 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2007-11-9 21:56 6 楼 0 某人分析: NtSystemDebugControl读写的内存~~ 关键代码如下: .text:00402F6B mov ecx, [ecx+0Ch] .text:00402F6E or ebx, 0FFFFFFFFh .text:00402F71 mov edx, [ecx+eax] .text:00402F74 mov eax, [esi+170h] .text:00402F7A add eax, 248h .text:00402F7F mov [esi+16Ch], edx .text:00402F85 jo loc_40319E .text:00402F85 .text:00402F8B push eax .text:00402F8C mov [ebp-1Ch], ebx .text:00402F8F call ReadSysMem .text:00402F8F .text:00402F94 mov ecx, [esi+16Ch] .text:00402F9A push 10h .text:00402F9C add ecx, 248h .text:00402FA2 mov [esi+180h], eax .text:00402FA8 jo loc_40319E .text:00402FA8 .text:00402FAE push ecx .text:00402FAF call WriteSysMem 即是将Thread->CrossThreadFlags设为0x10h(PS_CROSS_THREAD_FLAGS_SYSTEM) 硬编码XXXX 参考PSPXXXXXTHREAD的代码 NTSTATUS PspTerminateThreadByPointer( IN PETHREAD Thread, IN NTSTATUS ExitStatus, IN BOOLEAN DirectTerminate ) /++ Routine Description: This function causes the specified thread to terminate. Arguments: ThreadHandle - Supplies a referenced pointer to the thread to terminate. ExitStatus - Supplies the exit status associated with the thread. DirectTerminate - TRUE is its ok to exit without queing an APC, FALSE otherwise --/ { NTSTATUS Status; PKAPC ExitApc=NULL; ULONG OldMask; PAGED_CODE(); if (Thread->CrossThreadFlags & PS_CROSS_THREAD_FLAGS_BREAK_ON_TERMINATION) { PspCatchCriticalBreak("Terminating critical thread 0x%p (in %s)\n", Thread, THREAD_TO_PROCESS(Thread)->ImageFileName); } if (DirectTerminate && Thread == PsGetCurrentThread()) { ASSERT (KeGetCurrentIrql() < APC_LEVEL); PS_SET_BITS (&Thread->CrossThreadFlags, PS_CROSS_THREAD_FLAGS_TERMINATED); PspExitThread (ExitStatus); // // Never Returns // } else { // // Cross thread deletion of system threads won't work. // if (IS_SYSTEM_THREAD (Thread)) { return STATUS_ACCESS_DENIED; }
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 444 粉丝 1 关注私信	fffddd 2007-11-10 21:18 7 楼 0 哈哈，好久没看到鸡蛋了。一来就搞这么多花样。
loveboom 雪币： 513 活跃值： (2228) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 99 回帖 685 粉丝 10 关注私信	loveboom 53 2007-11-10 22:26 8 楼 0 好旧的东西,早有人说怎么破解了.这种硬编码方式只能在xp系统上正常，。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复