[求助]WritehProcessMemory怎样才不被卡巴主动防御拦截呢？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼你的出发点有问题：拦截是肯定会拦截到的，问题是允不允许。因此你只需要在程序发布的说明里说清楚，当卡巴有这样的提示时，让用户选择跳过并把程序加入信任区。如果你说不让卡巴拦截到，那等于“对抗主动防御”了，那反而越做越会让用户觉得你的程序有问题。 2008-4-10 17:47 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 3 楼比较郁闷，说过了，客户不管的 2008-4-10 20:18 0
gx_sz 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 86 粉丝 0 关注私信	gx_sz 4 楼一般正常的程序都不需要改写对方内存的啊。。。如果是比较暴力的程序，直接把卡巴的挂钩恢复 2008-4-11 09:40 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 5 楼如果是正规的程序,你可以让卡巴加代码: if(procname=='cpshow'){permit=1;} 2008-4-11 10:32 0
ohuangkeo 雪币： 142 活跃值： (278) 能力值： ( LV9，RANK：140 ) 在线值：发帖 47 回帖 184 粉丝 0 关注私信	ohuangkeo 3 6 楼卡吧是不是在WritehProcessMemory这个系统函数那下断点了?还是用的别的方法拦截的. 如果只是下断拦截的话,去掉断点应该可以. 不知道说得对不对. 2008-4-11 11:29 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 7 楼肯定是挂钩了阿 2008-4-11 13:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼卡巴至少是SSDT HOOK了NtWriteVirtualMemory（WriteProcessMemory内部调用它） 2008-4-11 17:35 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 9 楼应该是这样的，恢复ssdt有用么？ 2008-4-11 22:48 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 10 楼先不要考虑恢复SSDT有没有用，关键是恢复SSDT（对抗主动防御）的动作，恐怕引起的卡巴报警会比你单纯WriteProcessMemory多得多吧？最后的结果，恐怕会与楼主的初衷（不让用户对程序产生误会）背道而驰。 2008-4-11 23:08 0
ohuangkeo 雪币： 142 活跃值： (278) 能力值： ( LV9，RANK：140 ) 在线值：发帖 47 回帖 184 粉丝 0 关注私信	ohuangkeo 3 11 楼 1.先把程序压缩,让卡吧检测不出来. 2.外壳程序弹出"警告"框,只要卡吧没关,就一直有. 3.当检测到没有卡吧时,就正常运行程序.... 呵呵上传的附件： alert.JPG （4.88kb，261次下载） 2008-4-11 23:49 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 12 楼这样用户不会满意的 2008-4-12 00:47 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 13 楼呵呵，不知道现在修改时间那个批处理对卡巴还有没有效果的 2008-4-12 10:27 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 14 楼和卡巴公司人员协商1下把你的程序加入可信列表 2008-4-12 12:36 0
ohuangkeo 雪币： 142 活跃值： (278) 能力值： ( LV9，RANK：140 ) 在线值：发帖 47 回帖 184 粉丝 0 关注私信	ohuangkeo 3 15 楼想得到美.... 2008-4-12 12:49 0
flysky88 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 1 关注私信	flysky88 16 楼惹不起还躲不起吗?把自己程序改一改 2008-4-12 13:26 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 17 楼哎，没办法，正如楼上兄弟说的，惹不起。我躲总可以啦。最终还是去掉了WritehProcessMemory 不报了 2008-4-12 16:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼你的出发点有问题：拦截是肯定会拦截到的，问题是允不允许。因此你只需要在程序发布的说明里说清楚，当卡巴有这样的提示时，让用户选择跳过并把程序加入信任区。如果你说不让卡巴拦截到，那等于“对抗主动防御”了，那反而越做越会让用户觉得你的程序有问题。 2008-4-10 17:47 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 3 楼比较郁闷，说过了，客户不管的 2008-4-10 20:18 0
gx_sz 雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 86 粉丝 0 关注私信	gx_sz 4 楼一般正常的程序都不需要改写对方内存的啊。。。如果是比较暴力的程序，直接把卡巴的挂钩恢复 2008-4-11 09:40 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 5 楼如果是正规的程序,你可以让卡巴加代码: if(procname=='cpshow'){permit=1;} 2008-4-11 10:32 0
ohuangkeo 雪币： 142 活跃值： (278) 能力值： ( LV9，RANK：140 ) 在线值：发帖 47 回帖 184 粉丝 0 关注私信	ohuangkeo 3 6 楼卡吧是不是在WritehProcessMemory这个系统函数那下断点了?还是用的别的方法拦截的. 如果只是下断拦截的话,去掉断点应该可以. 不知道说得对不对. 2008-4-11 11:29 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 7 楼肯定是挂钩了阿 2008-4-11 13:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 8 楼卡巴至少是SSDT HOOK了NtWriteVirtualMemory（WriteProcessMemory内部调用它） 2008-4-11 17:35 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 9 楼应该是这样的，恢复ssdt有用么？ 2008-4-11 22:48 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 10 楼先不要考虑恢复SSDT有没有用，关键是恢复SSDT（对抗主动防御）的动作，恐怕引起的卡巴报警会比你单纯WriteProcessMemory多得多吧？最后的结果，恐怕会与楼主的初衷（不让用户对程序产生误会）背道而驰。 2008-4-11 23:08 0
ohuangkeo 雪币： 142 活跃值： (278) 能力值： ( LV9，RANK：140 ) 在线值：发帖 47 回帖 184 粉丝 0 关注私信	ohuangkeo 3 11 楼 1.先把程序压缩,让卡吧检测不出来. 2.外壳程序弹出"警告"框,只要卡吧没关,就一直有. 3.当检测到没有卡吧时,就正常运行程序.... 呵呵上传的附件： alert.JPG （4.88kb，261次下载） 2008-4-11 23:49 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 12 楼这样用户不会满意的 2008-4-12 00:47 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 13 楼呵呵，不知道现在修改时间那个批处理对卡巴还有没有效果的 2008-4-12 10:27 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 14 楼和卡巴公司人员协商1下把你的程序加入可信列表 2008-4-12 12:36 0
ohuangkeo 雪币： 142 活跃值： (278) 能力值： ( LV9，RANK：140 ) 在线值：发帖 47 回帖 184 粉丝 0 关注私信	ohuangkeo 3 15 楼想得到美.... 2008-4-12 12:49 0
flysky88 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 1 关注私信	flysky88 16 楼惹不起还躲不起吗?把自己程序改一改 2008-4-12 13:26 0
cpshow 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 326 粉丝 0 关注私信	cpshow 17 楼哎，没办法，正如楼上兄弟说的，惹不起。我躲总可以啦。最终还是去掉了WritehProcessMemory 不报了 2008-4-12 16:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复