[讨论]进程保护挑战 - 无HOOK无KDOM，微软标准函数-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]进程保护挑战 - 无HOOK无KDOM，微软标准函数

发表于: 2008-4-3 22:25 16721

[讨论]进程保护挑战 - 无HOOK无KDOM，微软标准函数

QIQI

2008-4-3 22:25

16721

进程保护挑战 - 无HOOK无KDOM，微软标准函数

看到有人诟病360的自我保护，又见江民、微点等一堆国内挫人使用一大堆HOOK对自己的进程做保护
导致系统不稳定还保护不住

于是放点东西出来给大家玩玩，欢迎挑战

测试程序没有使用任何HOOK技术，没有使用任何DKOM技术，完全使用微软标准函数、标准接口，却让无数号称强大的ARK、结束进程工具望之兴叹！

以下是无法结束本测试程序的程序列表，欢迎各位测试自己的工具，逐步更新此表

Icesword 1.22 ---  failed
RKU 3.7 ---  failed
gmer 1.14 ---  failed
SnipeSword 20080225 --- failed
Wsyscheck 20080223  --- failed
墨者安全专家进程管理3.05 --- failed
DarkSpy 1.0.5 --- failed
SysProt 1.0.0.5 --- failed

挑战规则：

让进程退出

禁止：
不允许攻击窗口

不允许恢复驱动使用标准函数建立的接口等

不允许破坏驱动内部数据或代码流程（例如保护PID值）
不允许类似上面的技巧

测试程序见压缩包:

测试方法:使用Driver Monitor或DrvLoad等工具加载ppxx.sys
运行ppxx.exe

尝试将其结束

[课程]Android-CTF解题方法汇总！

上传的附件：

ppxx.rar （15.62kb，402次下载）

收藏・4

免费・0

支持

最新回复 (32) 1 2 ▶
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 2 楼不错，下载用用看。 2008-4-3 22:32 0
zaroty 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	zaroty 3 楼很暴力。。。。。 2008-4-3 22:38 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 4 楼转载MJ的东西连个出处都不写？ LZ你脑子有毛病？ BS之 http://hi.baidu.com/mj0011/blog/item/90adc462293510d9e7113a11.html 2008-4-3 23:33 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 5 楼 MJ0011是我徒弟，我给我徒弟做宣传，不行啊？ 2008-4-4 00:09 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 6 楼 2008-4-4 04:31 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 7 楼这样的有什么实用价值?我发觉系统有问题之后第一反应就是恢复SSDT,FSD检查,内核扫描,然后在服务列表里查看未知驱动加载. 2008-4-4 04:37 0
StarsunYzL 雪币： 454 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 440 粉丝 1 关注私信	StarsunYzL 8 楼 [QUOTE=sudami;436738]转载MJ的东西连个出处都不写？ LZ你脑子有毛病？ BS之 http://hi.baidu.com/mj0011/blog/item/90adc462293510d9e7113a11.html[/QUOTE] 怪不得文风那么MJ 2008-4-4 08:36 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 9 楼其实楼主就是MJ。。 2008-4-4 09:53 0
ASMFAQ 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	ASMFAQ 10 楼没好大意思，不用驱动也不用上面所说的，就用标准RING3下的API就可以，呵 2008-4-4 11:00 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼 LZ可以试试把exeplorer结束掉还能不能鼠标操作系统。 2008-4-4 12:10 0
StarsunYzL 雪币： 454 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 440 粉丝 1 关注私信	StarsunYzL 12 楼 QIQI = WQXNETQIQI ？？？ 2008-4-4 14:48 0
Creamymami 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	Creamymami 13 楼 ... 好强大又离谱的东西噢.. 2008-4-9 05:13 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 14 楼结束不了啊结束不了。 2008-4-9 07:41 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 15 楼转载的东西也不说一声。。。。 2008-4-9 19:32 0
jfdsa 雪币： 395 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	jfdsa 16 楼我是第一次看到还是感谢楼主共享 2008-4-22 18:36 0
灵火雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	灵火 17 楼我用自己写的一个结束进程的软件就可以结束掉了。不光是可以结束掉你这个进程，还可以把所有系统关键进程都结束了。还真以为你这个进程比系统进程都牛..................... 2008-4-25 17:50 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 18 楼楼上的吹牛不要没完没了~ 2008-4-28 17:52 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 19 楼系统进程算什么？出Idle进程外的其他系统进程结束之非常容易。。。 2008-4-28 18:16 0
sunsjw 雪币： 8599 活跃值： (5065) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1248 粉丝 12 关注私信	sunsjw 1 20 楼大家不要光吹牛,拿出实际的东西看看. 人家QIQI可是把自己的东西拿出来了的. 2008-4-29 10:29 0
灵火雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	灵火 21 楼我把软件传上来了，软件密码:hcwlwindows 上传的附件：结束进程.rar （796.65kb，51次下载） 2008-5-2 19:25 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 22 楼程序真搓，微点都结束不了。对于随便hook 了ZwOpenProcess的程序也结束不了。麻烦LS的同学不要这样吹嘘，可以不。。。。 2008-5-2 19:50 0
灵火雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	灵火 23 楼我试过可以结束掉楼主的程序，但是你说结束不掉我也没法看到，不知道你说的是怎么样结束不掉法。另外我只是说我这个程序可以结束掉他的进程，没说我程序有多好，也没在哪吹嘘，这个东西只要自已知道能不能就行了，不是拿出来卖给别人用的。 2008-5-4 16:44 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 24 楼自己都结束不了了，有意义吗 2008-5-10 16:15 0
baihacker 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	baihacker 25 楼莫非真是 ? from wqxsky 2008-7-23 15:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

QIQI

发帖

101

回帖

RANK

关注

私信

他的文章

[讨论]进程保护挑战 - 无HOOK无KDOM，微软标准函数 16722

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 2 楼不错，下载用用看。 2008-4-3 22:32 0
zaroty 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	zaroty 3 楼很暴力。。。。。 2008-4-3 22:38 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 4 楼转载MJ的东西连个出处都不写？ LZ你脑子有毛病？ BS之 http://hi.baidu.com/mj0011/blog/item/90adc462293510d9e7113a11.html 2008-4-3 23:33 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 5 楼 MJ0011是我徒弟，我给我徒弟做宣传，不行啊？ 2008-4-4 00:09 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 6 楼 2008-4-4 04:31 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 7 楼这样的有什么实用价值?我发觉系统有问题之后第一反应就是恢复SSDT,FSD检查,内核扫描,然后在服务列表里查看未知驱动加载. 2008-4-4 04:37 0
StarsunYzL 雪币： 454 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 440 粉丝 1 关注私信	StarsunYzL 8 楼 [QUOTE=sudami;436738]转载MJ的东西连个出处都不写？ LZ你脑子有毛病？ BS之 http://hi.baidu.com/mj0011/blog/item/90adc462293510d9e7113a11.html[/QUOTE] 怪不得文风那么MJ 2008-4-4 08:36 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 9 楼其实楼主就是MJ。。 2008-4-4 09:53 0
ASMFAQ 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	ASMFAQ 10 楼没好大意思，不用驱动也不用上面所说的，就用标准RING3下的API就可以，呵 2008-4-4 11:00 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼 LZ可以试试把exeplorer结束掉还能不能鼠标操作系统。 2008-4-4 12:10 0
StarsunYzL 雪币： 454 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 440 粉丝 1 关注私信	StarsunYzL 12 楼 QIQI = WQXNETQIQI ？？？ 2008-4-4 14:48 0
Creamymami 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 0 关注私信	Creamymami 13 楼 ... 好强大又离谱的东西噢.. 2008-4-9 05:13 0
trkzrq 雪币： 280 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 125 粉丝 0 关注私信	trkzrq 14 楼结束不了啊结束不了。 2008-4-9 07:41 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 15 楼转载的东西也不说一声。。。。 2008-4-9 19:32 0
jfdsa 雪币： 395 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	jfdsa 16 楼我是第一次看到还是感谢楼主共享 2008-4-22 18:36 0
灵火雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	灵火 17 楼我用自己写的一个结束进程的软件就可以结束掉了。不光是可以结束掉你这个进程，还可以把所有系统关键进程都结束了。还真以为你这个进程比系统进程都牛..................... 2008-4-25 17:50 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 18 楼楼上的吹牛不要没完没了~ 2008-4-28 17:52 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 19 楼系统进程算什么？出Idle进程外的其他系统进程结束之非常容易。。。 2008-4-28 18:16 0
sunsjw 雪币： 8599 活跃值： (5065) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1248 粉丝 12 关注私信	sunsjw 1 20 楼大家不要光吹牛,拿出实际的东西看看. 人家QIQI可是把自己的东西拿出来了的. 2008-4-29 10:29 0
灵火雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	灵火 21 楼我把软件传上来了，软件密码:hcwlwindows 上传的附件：结束进程.rar （796.65kb，51次下载） 2008-5-2 19:25 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 22 楼程序真搓，微点都结束不了。对于随便hook 了ZwOpenProcess的程序也结束不了。麻烦LS的同学不要这样吹嘘，可以不。。。。 2008-5-2 19:50 0
灵火雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	灵火 23 楼我试过可以结束掉楼主的程序，但是你说结束不掉我也没法看到，不知道你说的是怎么样结束不掉法。另外我只是说我这个程序可以结束掉他的进程，没说我程序有多好，也没在哪吹嘘，这个东西只要自已知道能不能就行了，不是拿出来卖给别人用的。 2008-5-4 16:44 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 24 楼自己都结束不了了，有意义吗 2008-5-10 16:15 0
baihacker 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	baihacker 25 楼莫非真是 ? from wqxsky 2008-7-23 15:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复