[讨论]-4)腾讯公司2008软件安全竞赛-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 10:44 2 楼 0 用SendMessage关掉system.exe 用IoControlCode=0x22E00F关掉驱动的文件保护提权到DebugPrivilege 用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数，把system进程中的占用句柄关闭挂起HBKernel32.sys模块中的守护线程恢复注册表删除文件 src&bin: r3_01.rar 上传的附件： r3_01.rar （18.19kb，35次下载）
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 10:56 3 楼 0 发送WM_QUERYENDSESSION消息到HBInject32窗口，关掉system.exe 用IoControlCode=0x22E00F关掉驱动的文件保护提权到DebugPrivilege 用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数，把system进程中的占用句柄关闭用自己写的驱动patch HBKernel32.sys模块中的线程函数，使线程自行退出恢复注册表删除文件 src&bin: r0_01.rar 上传的附件： r0_01.rar （25.48kb，22次下载）
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 12:33 4 楼 0 发送WM_QUERYENDSESSION消息到HBInject32窗口，关掉system.exe 用自己写的驱动patch HBKernel32.sys模块中的线程函数，使线程自行退出,线程退出时会自行恢复hook的恢复注册表删除文件 src&bin: r0_02.rar 上传的附件： r0_02.rar （23.93kb，18次下载）
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 16:03 5 楼 0 RAW模式打开volume，并按cluster来操作,把sys文件清空然后重启删除残余文件,清理注册表 src&bin:
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 16:06 6 楼 0 上一楼附件怎么无效连接了? 重新传一个 src&bin: r3_02.rar 上传的附件： r3_02.rar （16.15kb，26次下载）
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 552 粉丝 1 关注私信	kangaroo 6 2008-11-11 23:12 7 楼 0 基础分:90分 ring3加20分 ring0加15分，由于简化版原理基本一样，所以少加5分文档加10分文件清除部份加5分最终得分140分
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-12 10:24 8 楼 0 大于我的期望值,自己的目标是120分
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (7)
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 10:44 2 楼 0 用SendMessage关掉system.exe 用IoControlCode=0x22E00F关掉驱动的文件保护提权到DebugPrivilege 用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数，把system进程中的占用句柄关闭挂起HBKernel32.sys模块中的守护线程恢复注册表删除文件 src&bin: r3_01.rar 上传的附件： r3_01.rar （18.19kb，35次下载）
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 10:56 3 楼 0 发送WM_QUERYENDSESSION消息到HBInject32窗口，关掉system.exe 用IoControlCode=0x22E00F关掉驱动的文件保护提权到DebugPrivilege 用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数，把system进程中的占用句柄关闭用自己写的驱动patch HBKernel32.sys模块中的线程函数，使线程自行退出恢复注册表删除文件 src&bin: r0_01.rar 上传的附件： r0_01.rar （25.48kb，22次下载）
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 12:33 4 楼 0 发送WM_QUERYENDSESSION消息到HBInject32窗口，关掉system.exe 用自己写的驱动patch HBKernel32.sys模块中的线程函数，使线程自行退出,线程退出时会自行恢复hook的恢复注册表删除文件 src&bin: r0_02.rar 上传的附件： r0_02.rar （23.93kb，18次下载）
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 16:03 5 楼 0 RAW模式打开volume，并按cluster来操作,把sys文件清空然后重启删除残余文件,清理注册表 src&bin:
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-1 16:06 6 楼 0 上一楼附件怎么无效连接了? 重新传一个 src&bin: r3_02.rar 上传的附件： r3_02.rar （16.15kb，26次下载）
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 552 粉丝 1 关注私信	kangaroo 6 2008-11-11 23:12 7 楼 0 基础分:90分 ring3加20分 ring0加15分，由于简化版原理基本一样，所以少加5分文档加10分文件清除部份加5分最终得分140分
ccfer 雪币： 8188 活跃值： (4243) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 103 关注私信	ccfer 16 2008-11-12 10:24 8 楼 0 大于我的期望值,自己的目标是120分
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复