[讨论]-4)腾讯公司2008软件安全竞赛-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 2 楼用SendMessage关掉system.exe 用IoControlCode=0x22E00F关掉驱动的文件保护提权到DebugPrivilege 用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数，把system进程中的占用句柄关闭挂起HBKernel32.sys模块中的守护线程恢复注册表删除文件 src&bin: r3_01.rar 上传的附件： r3_01.rar （18.19kb，35次下载） 2008-11-1 10:44 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 3 楼发送WM_QUERYENDSESSION消息到HBInject32窗口，关掉system.exe 用IoControlCode=0x22E00F关掉驱动的文件保护提权到DebugPrivilege 用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数，把system进程中的占用句柄关闭用自己写的驱动patch HBKernel32.sys模块中的线程函数，使线程自行退出恢复注册表删除文件 src&bin: r0_01.rar 上传的附件： r0_01.rar （25.48kb，22次下载） 2008-11-1 10:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 4 楼发送WM_QUERYENDSESSION消息到HBInject32窗口，关掉system.exe 用自己写的驱动patch HBKernel32.sys模块中的线程函数，使线程自行退出,线程退出时会自行恢复hook的恢复注册表删除文件 src&bin: r0_02.rar 上传的附件： r0_02.rar （23.93kb，18次下载） 2008-11-1 12:33 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 5 楼 RAW模式打开volume，并按cluster来操作,把sys文件清空然后重启删除残余文件,清理注册表 src&bin: 2008-11-1 16:03 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 6 楼上一楼附件怎么无效连接了? 重新传一个 src&bin: r3_02.rar 上传的附件： r3_02.rar （16.15kb，26次下载） 2008-11-1 16:06 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 7 楼基础分:90分 ring3加20分 ring0加15分，由于简化版原理基本一样，所以少加5分文档加10分文件清除部份加5分最终得分140分 2008-11-11 23:12 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 8 楼大于我的期望值,自己的目标是120分 2008-11-12 10:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 2 楼用SendMessage关掉system.exe 用IoControlCode=0x22E00F关掉驱动的文件保护提权到DebugPrivilege 用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数，把system进程中的占用句柄关闭挂起HBKernel32.sys模块中的守护线程恢复注册表删除文件 src&bin: r3_01.rar 上传的附件： r3_01.rar （18.19kb，35次下载） 2008-11-1 10:44 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 3 楼发送WM_QUERYENDSESSION消息到HBInject32窗口，关掉system.exe 用IoControlCode=0x22E00F关掉驱动的文件保护提权到DebugPrivilege 用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数，把system进程中的占用句柄关闭用自己写的驱动patch HBKernel32.sys模块中的线程函数，使线程自行退出恢复注册表删除文件 src&bin: r0_01.rar 上传的附件： r0_01.rar （25.48kb，22次下载） 2008-11-1 10:56 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 4 楼发送WM_QUERYENDSESSION消息到HBInject32窗口，关掉system.exe 用自己写的驱动patch HBKernel32.sys模块中的线程函数，使线程自行退出,线程退出时会自行恢复hook的恢复注册表删除文件 src&bin: r0_02.rar 上传的附件： r0_02.rar （23.93kb，18次下载） 2008-11-1 12:33 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 5 楼 RAW模式打开volume，并按cluster来操作,把sys文件清空然后重启删除残余文件,清理注册表 src&bin: 2008-11-1 16:03 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 6 楼上一楼附件怎么无效连接了? 重新传一个 src&bin: r3_02.rar 上传的附件： r3_02.rar （16.15kb，26次下载） 2008-11-1 16:06 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 7 楼基础分:90分 ring3加20分 ring0加15分，由于简化版原理基本一样，所以少加5分文档加10分文件清除部份加5分最终得分140分 2008-11-11 23:12 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 8 楼大于我的期望值,自己的目标是120分 2008-11-12 10:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复