[原创]进程保护挑战-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 2 楼写代码停了你的驱动后KILL。 2008-5-4 13:00 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼无语。hook 的IPSPEXITTHREAD. XP SP2下直接BSOD了我做了没那么深的，仅仅是KiInsertXXXX 附件是sudami.exe，直接运行后，用各种ARK工具恢复任何inline hook，然后尝试结束掉sudami.exe进程。 PS：RKU的内存清0 可以结束掉。上传的附件： sudami.rar （67.99kb，76次下载） 2008-5-4 13:04 0
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 4 楼好像MJ在第8个男人那帖子啊 2008-5-4 13:52 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼看这里： http://www.debugman.com/read.php?tid=1230&page=e#a MJ的方法真多。这样看来要保护一个进程不被kill掉几乎是不可能的事情。 2008-5-4 13:58 0
shrift 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 116 粉丝 0 关注私信	shrift 6 楼 XPSP3直接蓝! 2008-5-4 14:47 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 7 楼加载会蓝是因为你机器装了主动防御之类的安全软件可以换台干净的机器试试 2008-5-4 17:23 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 8 楼我说了驱动卸载了就会结束掉，你也没必要去写代码停 2008-5-4 17:24 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 9 楼 Hook KiInsertXXXX还是比较容易结束的你在你的fake函数里作过滤总不能无论什么APC都不让插吧如果你不让插任何APC，肯定蓝屏我可以插个APC，APC例程里用PspExitThread结束 2008-5-4 17:28 0
又一天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	又一天 10 楼 MJ0011的马甲来了？ 2008-5-4 18:50 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 11 楼内存清0 应该能杀掉任何进程吧？而要清内存是比较容易滴，直接涂物理内存 2008-5-5 16:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 2 楼写代码停了你的驱动后KILL。 2008-5-4 13:00 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼无语。hook 的IPSPEXITTHREAD. XP SP2下直接BSOD了我做了没那么深的，仅仅是KiInsertXXXX 附件是sudami.exe，直接运行后，用各种ARK工具恢复任何inline hook，然后尝试结束掉sudami.exe进程。 PS：RKU的内存清0 可以结束掉。上传的附件： sudami.rar （67.99kb，76次下载） 2008-5-4 13:04 0
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 4 楼好像MJ在第8个男人那帖子啊 2008-5-4 13:52 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼看这里： http://www.debugman.com/read.php?tid=1230&page=e#a MJ的方法真多。这样看来要保护一个进程不被kill掉几乎是不可能的事情。 2008-5-4 13:58 0
shrift 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 116 粉丝 0 关注私信	shrift 6 楼 XPSP3直接蓝! 2008-5-4 14:47 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 7 楼加载会蓝是因为你机器装了主动防御之类的安全软件可以换台干净的机器试试 2008-5-4 17:23 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 8 楼我说了驱动卸载了就会结束掉，你也没必要去写代码停 2008-5-4 17:24 0
十指紧扣雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	十指紧扣 9 楼 Hook KiInsertXXXX还是比较容易结束的你在你的fake函数里作过滤总不能无论什么APC都不让插吧如果你不让插任何APC，肯定蓝屏我可以插个APC，APC例程里用PspExitThread结束 2008-5-4 17:28 0
又一天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	又一天 10 楼 MJ0011的马甲来了？ 2008-5-4 18:50 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 11 楼内存清0 应该能杀掉任何进程吧？而要清内存是比较容易滴，直接涂物理内存 2008-5-5 16:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复