首页
社区
课程
招聘
[求助]WritehProcessMemory怎样才不被卡巴主动防御拦截呢?
发表于: 2008-4-10 16:17 9579

[求助]WritehProcessMemory怎样才不被卡巴主动防御拦截呢?

2008-4-10 16:17
9579
发现卡巴把WritehProcessMemory的操作当成程序入侵注入行为。这样很多用户都误认为我的程序有什么问题。不知道有什么好的方法解决么。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (16)
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
2
你的出发点有问题:拦截是肯定会拦截到的,问题是允不允许。
因此你只需要在程序发布的说明里说清楚,当卡巴有这样的提示时,让用户选择跳过并把程序加入信任区。
如果你说不让卡巴拦截到,那等于“对抗主动防御”了,那反而越做越会让用户觉得你的程序有问题。
2008-4-10 17:47
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
比较郁闷,说过了,客户不管的
2008-4-10 20:18
0
雪    币: 172
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
一般正常的程序都不需要改写对方内存的啊。。。
如果是比较暴力的程序,直接把卡巴的挂钩恢复
2008-4-11 09:40
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
5
如果是正规的程序,你可以让卡巴加代码:
  if(procname=='cpshow'){permit=1;}
2008-4-11 10:32
0
雪    币: 142
活跃值: (278)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
6
卡吧是不是在WritehProcessMemory这个系统函数那下断点了?还是用的别的方法拦截的.
如果只是下断拦截的话,去掉断点应该可以.

不知道说得对不对.
2008-4-11 11:29
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
肯定是挂钩了阿
2008-4-11 13:17
0
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
8
卡巴至少是SSDT HOOK了NtWriteVirtualMemory(WriteProcessMemory内部调用它)
2008-4-11 17:35
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
应该是这样的,恢复ssdt有用么?
2008-4-11 22:48
0
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
10
先不要考虑恢复SSDT有没有用,关键是恢复SSDT(对抗主动防御)的动作,恐怕引起的卡巴报警会比你单纯WriteProcessMemory多得多吧?最后的结果,恐怕会与楼主的初衷(不让用户对程序产生误会)背道而驰。
2008-4-11 23:08
0
雪    币: 142
活跃值: (278)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
11
1.先把程序压缩,让卡吧检测不出来.
2.外壳程序弹出"警告"框,只要卡吧没关,就一直有.
3.当检测到没有卡吧时,就正常运行程序....

呵呵
上传的附件:
2008-4-11 23:49
0
雪    币: 716
活跃值: (162)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
12
这样用户不会满意的
2008-4-12 00:47
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
呵呵,不知道现在修改时间那个批处理对卡巴还有没有效果的
2008-4-12 10:27
0
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
14
和卡巴公司人员协商1下
把你的程序加入可信列表
2008-4-12 12:36
0
雪    币: 142
活跃值: (278)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
15
想得到美....
2008-4-12 12:49
0
雪    币: 200
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
惹不起还躲不起吗?把自己程序改一改
2008-4-12 13:26
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
哎,没办法,正如楼上兄弟说的,惹不起。我躲总可以啦。
最终还是去掉了WritehProcessMemory 不报了
2008-4-12 16:56
0
游客
登录 | 注册 方可回帖
返回
//