能力值:
( LV9,RANK:610 )
|
-
-
2 楼
钩住A的CreateProcessInternalW就差不多了,玩法很多~
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
个人感觉应该钩住A的注入函数,创建函数貌似钩住了没用
|
能力值:
( LV9,RANK:610 )
|
-
-
4 楼
怎么没用?拦住它的创建过程,你替它创建然后注入自己的代码,再把创建好的进程扔给它不就行了?
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
谢谢,能具体点吗?
|
能力值:
( LV12,RANK:450 )
|
-
-
6 楼
拦截NtCreateSector
|
能力值:
( LV12,RANK:600 )
|
-
-
7 楼
PsSetCreateProcessNotifyRoutine
|
能力值:
( LV4,RANK:50 )
|
-
-
8 楼
网上找了一下PsSetCreateProcessNotifyRoutine这个函数能得到进程创建的消息.NtCreateSector这个消息怎么找不到相关的资料?
|
能力值:
( LV12,RANK:450 )
|
-
-
9 楼
PsSetCreateProcessNotifyRoutine没什么大用,只能得到消息,但得到消息后做不能阻止进程启动了。
NtCreateSection就可以做些事情。
我记得好像是这样吧
|
能力值:
( LV12,RANK:300 )
|
-
-
10 楼
楼主的目的不在于阻止进程启动,而在于在进程启动时第一时间(比父进程在用户态做的事情要快)修改其内存,所以PsSetCreateProcessNotifyRoutine还是可以用的。
NtCreateSection比PsSetCreateProcessNotifyRoutine要快一些,就是在将文件映像入内存Section的时候把其中的内存内容给改掉。不过这就不是“进程创建后第一时间”了,因为这个时候进程还没有真正创建。
|
能力值:
( LV12,RANK:600 )
|
-
-
11 楼
谁说不能阻止进程启动了....attach写他的入口...这样就起不来了
|
能力值:
( LV12,RANK:450 )
|
-
-
12 楼
…………没试过,下次看看
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
CreateProcessInternal 通用吗?
我记得看过别人写的两个定义
在win2k上比xp上多了一个pointer参数
|
能力值:
( LV12,RANK:300 )
|
-
-
14 楼
对“阻止启动”概念的理解不一样吧,写它入口的情况(就是我上面说的修改其内存,用来ANTI这个进程时的最通常方法就是把入口点代码改掉),还是启动了,只不过到入口之后进程挂了而已
不过即使把“阻止进程启动”理解为“阻止CreateProcess的调用成功”,PsSetCreateProcessRoutine也还是有办法的。
比如MJ以前那个XX的“结束进程挑战”所用方法,只不过MJ是在进程结束时把它无限NtDelayException,改成在进程创建时这样做。不过这样调用CreateProcess的那个进程就会挂在内核态回不来?
|
能力值:
( LV6,RANK:90 )
|
-
-
15 楼
驱动防火墙就这么干的。
|
能力值:
( LV9,RANK:850 )
|
-
-
16 楼
hook NtCreateSection
一般用MS公开的方法都比较不安全,都被研究过了,比如PsSetCreateProcessNotifyRoutine
|
能力值:
( LV9,RANK:610 )
|
-
-
17 楼
现在驱动真是越来越白菜了,我觉得不是什么问题都要用驱动来解决啊,简单有效的方法就可以了
|
能力值:
( LV12,RANK:760 )
|
-
-
18 楼
hook NtMapViewOfSection~~
easy to do it~
|
|
|