首页
社区
课程
招聘
[讨论]
发表于: 2008-11-1 10:30 3232

[讨论]

ccfer 活跃值
16
2008-11-1 10:30
3232
收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
2
用SendMessage关掉system.exe
用IoControlCode=0x22E00F关掉驱动的文件保护
提权到DebugPrivilege
用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数,把system进程中的占用句柄关闭
挂起HBKernel32.sys模块中的守护线程
恢复注册表
删除文件

src&bin:
r3_01.rar
上传的附件:
2008-11-1 10:44
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
3
发送WM_QUERYENDSESSION消息到HBInject32窗口,关掉system.exe
用IoControlCode=0x22E00F关掉驱动的文件保护
提权到DebugPrivilege
用DuplicateHandle带DUPLICATE_CLOSE_SOURCE参数,把system进程中的占用句柄关闭
用自己写的驱动patch HBKernel32.sys模块中的线程函数,使线程自行退出
恢复注册表
删除文件

src&bin:
r0_01.rar
上传的附件:
2008-11-1 10:56
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
4
发送WM_QUERYENDSESSION消息到HBInject32窗口,关掉system.exe
用自己写的驱动patch HBKernel32.sys模块中的线程函数,使线程自行退出,线程退出时会自行恢复hook的
恢复注册表
删除文件

src&bin:
r0_02.rar
上传的附件:
2008-11-1 12:33
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
5
RAW模式打开volume,并按cluster来操作,把sys文件清空
然后重启删除残余文件,清理注册表

src&bin:
2008-11-1 16:03
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
6
上一楼附件怎么无效连接了?
重新传一个
src&bin:
r3_02.rar
上传的附件:
2008-11-1 16:06
0
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
7
基础分:90分
ring3加20分
ring0加15分,由于简化版原理基本一样,所以少加5分

文档加10分

文件清除部份加5分

最终得分140分
2008-11-11 23:12
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
8
大于我的期望值,自己的目标是120分
2008-11-12 10:24
0
游客
登录 | 注册 方可回帖
返回
//