[原创]玩玩微点之一：利用CreateEvent函数不让微点启动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]玩玩微点之一：利用CreateEvent函数不让微点启动

发表于: 2008-7-16 21:02 8590

[原创]玩玩微点之一：利用CreateEvent函数不让微点启动

shineast

2008-7-16 21:02

8590

今天看书，买了好久的好书——《Windows核心编程》。看到内核对象，3.3.4 节讲“终端服务器的名字空间”，内容是说：如果存在一个可供内核对象使用的全局名字空间，就意味着它可以供所有的客户程序会话访问。Windows中就有这样的全局名字空间："Global\" ，将"Global\"置于对象名前面，就可以使命名对象进入全局名字空间。——你是否想到什么呢？

为了跨域进程边界来共享内核对象，微点无非就是那么几种办法，开始我以为用的是：可继承句柄或命名对象的方法。后来反了一下微点的主程序：MPStart.exe，发现貌似不是这样，当我看到下面的东西，我很坚定的相信微点用的是上面提到的全局名字空间的方法。哈哈！

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

利用CreateEvent函数不让微点启动.rar （68.85kb，112次下载）
playMP_CreateEvent.JPG （15.52kb，447次下载）

收藏・3

免费・7

支持

最新回复 (13)
xkxpiao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	xkxpiao 2 楼顶 . 2008-7-16 21:17 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 3 楼哈哈试试！！！！！ 2008-7-16 21:18 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 4 楼试的时候要先，关掉微点（托盘图标右键退出），然后启动我的程序（不要关闭），然后再启动微点试试！看能启动不？ 2008-7-16 21:21 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 5 楼厉害应该加精 2008-7-16 21:25 0
wangweimin 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	wangweimin 6 楼你没有试试把Global\\REBOOTEVENT_6934D571-115B-4830-A关了，再开开微点是啥效果啊 2008-7-16 21:32 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 7 楼和 Global\\MPMon_6934D571-115B-4830-AC5C-02A0D08179C5 效果一样 2008-7-16 21:42 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 8 楼突然想到：莫非 Global\\REBOOTEVENT_6934D571-115B-4830-AC5C-02A0D08179C5 就是微点检测到关机后，创建的事件对象？？？！！！ 2008-7-16 21:43 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 9 楼 ProcessExplorer 用这个查内核对象比较爽。 2008-7-16 21:54 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 10 楼实际上关掉微点进程内部的内某个EVENT 微点进程就挂了 2008-7-17 00:05 0
Kendiv 雪币： 230 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 106 粉丝 0 关注私信	Kendiv 11 楼不错，微点应该给楼主奖励，这算是产品设计缺陷～～为啥不使用随机名称呢？估计微点也没啥像样的测试～～ 2008-7-20 19:36 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 12 楼事件对象占坑，学习了。 2008-7-21 10:45 0
gesily 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 49 粉丝 0 关注私信	gesily 13 楼微点要走的路还很长。。。 2008-7-22 13:30 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 14 楼把微点的茅坑给占了 2008-7-27 11:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shineast

发帖

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
xkxpiao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	xkxpiao 2 楼顶 . 2008-7-16 21:17 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 3 楼哈哈试试！！！！！ 2008-7-16 21:18 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 4 楼试的时候要先，关掉微点（托盘图标右键退出），然后启动我的程序（不要关闭），然后再启动微点试试！看能启动不？ 2008-7-16 21:21 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 5 楼厉害应该加精 2008-7-16 21:25 0
wangweimin 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	wangweimin 6 楼你没有试试把Global\\REBOOTEVENT_6934D571-115B-4830-A关了，再开开微点是啥效果啊 2008-7-16 21:32 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 7 楼和 Global\\MPMon_6934D571-115B-4830-AC5C-02A0D08179C5 效果一样 2008-7-16 21:42 0
shineast 雪币： 222 活跃值： (44) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 60 粉丝 3 关注私信	shineast 4 8 楼突然想到：莫非 Global\\REBOOTEVENT_6934D571-115B-4830-AC5C-02A0D08179C5 就是微点检测到关机后，创建的事件对象？？？！！！ 2008-7-16 21:43 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 9 楼 ProcessExplorer 用这个查内核对象比较爽。 2008-7-16 21:54 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 10 楼实际上关掉微点进程内部的内某个EVENT 微点进程就挂了 2008-7-17 00:05 0
Kendiv 雪币： 230 活跃值： (149) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 106 粉丝 0 关注私信	Kendiv 11 楼不错，微点应该给楼主奖励，这算是产品设计缺陷～～为啥不使用随机名称呢？估计微点也没啥像样的测试～～ 2008-7-20 19:36 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 12 楼事件对象占坑，学习了。 2008-7-21 10:45 0
gesily 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 49 粉丝 0 关注私信	gesily 13 楼微点要走的路还很长。。。 2008-7-22 13:30 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 14 楼把微点的茅坑给占了 2008-7-27 11:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复