首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]干掉KV 2008, Rising等大部分杀软
发表于: 2008-3-23 10:01 58372

[原创]干掉KV 2008, Rising等大部分杀软

sudami 活跃值
25
2008-3-23 10:01
58372

查看主题内容

收藏
免费 7
支持
分享
最新回复 (115)
zhuwg
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
私信
51
谁告诉你attach要用api啊
偶得文章里面好像是自己切换cr3啊

继续废话 把你得线程调度链表断开。。。哈哈
2008-3-29 08:13
0
sudami
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
52
R,全部自己实现。。。

难得啊
2008-3-29 10:32
0
蓬莱过客
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
53
有价值 学习  参考
2008-3-29 11:45
0
uncledo
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
54
lz对360手下留情了,呵呵
请问一下kill安全软件是靠进程名来判断的吗?如果是新的ark工具咋搞?
2008-3-29 13:41
0
sudami
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
55
粗略上是靠进程名来判断的。
不过可以改进~
2008-3-29 15:00
0
FlowerCode
雪    币: 202
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
56
我以前试过了,直接改 CR3 会蓝屏的,因为如果是正常的 Attach 系统还会改一堆东西。
2008-3-29 16:09
0
FlowerCode
雪    币: 202
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
57
360 那个纯属奇技淫巧。详见我发在新兵论坛板块的文章。
2008-3-29 16:11
0
梅花心易
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
58
在使用了这个以后,重启的时候系统在将载入个人设置时蓝屏:
显示Sudami.sys和Pnp649r.sys文件怎么样了....

重启了N遍也没有用,只好恢复系统了....
2008-4-3 10:24
0
sudami
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
59
这个sudami.sys写的确实有问题。

在重新启动的时候会蓝。
2008-4-3 11:24
0
hxqlky
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
60
谢谢  学习了
2008-4-3 22:38
0
KD路飞
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
61
强悍`

学习``
2008-4-4 11:26
0
凉水冰凉
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
62
苏大米就是wangsea。。。。
2008-4-6 21:06
0
sudami
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
63


我没有马甲。
怎么搞的,刚从“黄花城”回来就被MJ骂了一顿,好奇怪啊
2008-4-7 16:12
0
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
64
sudami,我的偶像。。。
我想问一个问题,什么情况下修改内核是违反软件产品保护规定的?
2008-4-7 17:05
0
canaris
雪    币: 238
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
65
牛人~~收藏
2008-4-7 17:30
0
junfeng
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
66


有点启发

呵呵
2008-4-8 10:22
0
卢德海
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
67
我刚下载.咔吧就杀猪叫了.我关闭咔吧下载了.刚开咔吧,打开这个压缩包时,发现里面已经空了.再看字节数只有27字节了.不行,不行,重编.
2008-4-11 21:30
0
shinetou
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
68
说得好,像我们这种不懂病毒的人看到杀软挂了,也肯定会重装系统.
2008-4-11 23:32
0
roofers
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
69
真是太强悍了,完全看不懂啊。
2008-4-11 23:47
0
gdlian
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
70
楼上的很搞笑也
2008-4-24 19:36
0
gdlian
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
71
读后思考:
A  问题:请问楼主如何得到进程ID?

B ★引用作者原话: “(PsLookupProcessByProcessId可能被别人hook过了,所以比较安全的做法是自己实现这个函数,其实就是在句柄表中找Object.可参考前人文章)”
疑问:除了自己实现外,将被HOOK的函数恢复后马上调用,这样可以bypass吗?即每次调用原始函数前,恢复一次。(APC的优先级应该不高)
或者自己实现函数头被HOOK的那N个字节,然后再 JMP到function original adress + N 执行,可以bypass 吗?

C 作者自己实现的 PsGetNextProcessThread (PEPROCESS Process, PETHREAD Thread )函数,能否兼容2000与XP?
[I]
D 为了得到 PsGetNextProcessThread()函数,首先得到 NtTerminateProcess()的地址,楼主使用的是搜索特征字串的方法,找到后使用计算公式
  (My_PsGetNextProcessThread)(*(PULONG)(cPtr + 1) + (ULONG)cPtr + 5);//*(PULONG)(cPtr + 1)估计是JMP 的一个相对地址吧[/I]

E 关于 “读ntoskrnl.exe,重定位后找到原始的 NtTerminateProcess().”网上有现成的代码可以使用。

F 我对 通过搜索关键字串 定位未导出函数的代码非常感兴趣,作者能否将完整的代码穿给我一份啊?万分感谢。我也懒啊 -_- 我想肯定很有用的。
  我的E-MAIL: 53338564@qq.com
2008-4-25 14:47
0
sudami
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
私信
72
gdlian同学提的问题很有深度。

传代码就是传播病毒了。

代码已经给了几个人。不会再给其他人了。

抱歉.
2008-4-25 15:19
0
gdlian
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
73
  我只是考验你一下,恭喜楼主经过了考验。代码不要轻易给别人啊。
2008-4-26 21:54
0
ltnanfeng
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
74
求助:

大侠们,把实用万年历4.2 破解,写个注册机吧。

很好用的一个软件,可惜我不会破解。
2008-4-27 09:50
0
hnwujunabc
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
75
哎最近好不容易整出一个过主动防于的....真累人呀
2008-4-27 21:25
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//