[讨论]山寨版IceSword（KsBinSword ）Bug汇报-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]山寨版IceSword（KsBinSword ）Bug汇报

发表于: 2009-2-20 02:25 11461

[讨论]山寨版IceSword（KsBinSword ）Bug汇报

IT情深

2009-2-20 02:25

11461

首先申明：只是好奇试试功能，请作者不要生气！作者能开源，这个精神已经非常不错了！赞一个先！严重支持作者的做法
另外申明我不是用VC的，我下载下来的目的真的只是想试试其功能如何,在我的心目中IceSword真的是一款很优秀的软件，PJF在我的心目中也算得上是一个传奇式的人物，这样说有些夸大吧，呵呵。。。
昨天下载了这个KsBinSword小小测试了一下，我打开就报内存错误，自动关闭，{前提是打开之前我已经做了SSDTHOOK，没有挂钩就没有事}，我HOOK了ZwOpenProcess，保护了几个进程，然后用KsBinSword测试，无论是用列举进程，还是驱动列举进程，都提示路径获取失败，结束进程也是，用3种方法都无法结束，第一个清零法结束进程有点意思，操作提示N多,提示操作完毕要我重新列举进程，我重新点击驱动列举进程，刚刚操作的进程名没有出现了，但是我的被保护进程仍好好的，动都没有动，是不是在自欺欺人啊？？^_^,进程明明没有结束掉，却提示成功了，然后重新用驱动方式列举也没有再出现这个进程，但进程就是还在，毫发未损，用IS一下就干掉了，仅仅SSDTHOOK而已，其它的没有试过，不过感觉SSDT这个功能还差不多,跟IS有点儿相似，能显示出被HOOK的信息,也能恢复SSDT.另外这个皮肤界面实在不取恭维，有几个皮肤根本就看不见列表里是什么东西了，清一色。
进程不会自动刷新，死亡或已经被结束的进程还在列表中，如果此时点结束进程时程序立马崩溃。如果此时点驱动结束进程时系统立马崩溃。。BSOD，Lalala。。。Reboot..
多点几次列举进程[间隔5秒左右]，提示系统繁忙，不知在搞什么飞机。。。不解
程序运行占用内存在我的机子上达到15MB，而IS只有6MB。
我还有一句想说的就是，一个用VC加汇编写的程序，单个程序体积达到2.5MB以上，可想是多大的工程，可以想像作者RAD到何种程度，我用传说中生成EXE体积庞大的DELPHI做一个ERP主程序也只有1M多,KsBinSword内存占用15M左右也确实有点儿大了，Windows shell Explorer.exe也只有这个样子，但是它的功能如何相信不用我介绍吧，同样出自VC
测试的结果很是令人失望,排除个人人品问题因素，有一句不太好听的评价：感觉花俏而不实用

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

QQ截图未命名.jpg （31.51kb，855次下载）

收藏・1

免费・0

支持

最新回复 (17)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼呵呵,别人能开源就是不错了. 好使的东西要自己去做. 别偷懒... 2009-2-20 08:23 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 3 楼本来就是参考资料，又不是什么成熟产品，有什么好埋怨？自己搞个没BUG的去！ 2009-2-20 08:50 0
tashika 雪币： 297 活跃值： (53) 能力值： ( LV3，RANK：25 ) 在线值：发帖 17 回帖 170 粉丝 0 关注私信	tashika 4 楼楼主所述的测试过程平常人都可以做啊你把bug定位到代码行我们都ding你 2009-2-20 14:12 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 5 楼应该是你装了GDI++,使用了微软雅黑字体。 2009-2-20 14:20 0
IT情深雪币： 197 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	IT情深 6 楼 GDI++还要另外装吗？好像XPSP3自带的吧，我测试的机上没有装上面提到的字体，也没有启用ClearType,换别的有几个皮肤还是可以看清楚,显示器是SUMSUNG22寸宽屏，感觉应该不是显示器的问题，可能是作者Listview中的问题其实我想说的是做技术的内容似乎更重要点，其它也没有别的意思，发贴后我都担心大家骂我呢，呵呵，BSOD一次所以我才发出来的，傻子都知道的问题，一个进程被结束后，其占用的内存空间基本上已释放，此时再去访问程序不出错才怪，其实做好意外处理也不会导致程序崩溃的，而此时用驱动方式去结束的话，驱动程序访问了一个不存在的内存地址BSOD似乎也是理所当然的事 2009-2-21 00:24 0
IT情深雪币： 197 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	IT情深 7 楼奇怪，我就是用平常的方法试试而已啊， 2009-2-21 00:28 0
IT情深雪币： 197 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	IT情深 8 楼不好意思，得罪了，东西发出来就会有人评价的，请作者别介意 2009-2-21 00:32 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 9 楼需要共享精神也同样需要共享批评精神赞LZ一个 2009-2-21 00:45 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 10 楼呵呵，我来了~~~ 你说的非常中肯，我看了真的很感动-- 能这么用心的测试。你说的bug确实存在，而且我想肯定还有很多…… 因为这只是当时为了参加学校的比赛才匆忙中几天搞的，后来------最郁闷的是，那个比赛自从提交作品后就一直没消息了！！所以我就没心思去搞了。实在对不起大家，我真没想到这么多人关注。我想我应该再完善下去（你说的体积和内存问题你随便用vs2005编写个程序就知道了；进程刷新问题我的文档里面提到过，你没看到吧，呵呵） PS：我其实一点都不生气~~而且很开心，哈哈。 2009-2-21 00:48 0
IT情深雪币： 197 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	IT情深 11 楼兄弟人品不错，佩服！言辞多有得罪，请别介意，其实我是真的拿它来跟IceSword对比的，呵呵，我从来都没有用过VC，以前用C#，就是讨厌VS的庞大体积和运行环境，所以放弃了，以后也不想再用VS，我下载下来的目的真的只是想试试其功能，其实如果换做我的话我都做不出兄弟你这个样子来的，能实现3分之一的功能就不错了，努力学习中。。。！ 2009-2-21 03:11 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 12 楼建议去掉皮肤，用最原始的就很好 2009-3-2 21:55 0
dnybz 雪币： 66 活跃值： (940) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 13 楼 IT情深多熟悉的名字 2009-3-10 02:37 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 14 楼 ICE和KAV冲突 KsBinSword却没事有代码的话还是组织自己喜欢的东西比较好调试上也比较方便有BUG的话也可以自行修改 2009-3-10 09:40 0
xxagri 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xxagri 15 楼我也说几句,KsBinSword确实做得不错,我第一次用就把IceSword进程杀得无影无踪,一看代码,发现My_OpenProcess和KillProcess清零杀进程几个函数都做得很不错,真的不错,在开源代码中还没有看到这样好的程式.真的很不错. 2009-6-7 14:21 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 16 楼这要感谢那些原作者。我只是拼装起来而已。 2009-6-7 14:41 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 17 楼驱动层有一段 //对cid从0x0到0x4e1c进行遍历 for(i=0x0;i<0x4e1c;i++) { // ... } 就是根据pspcidtable列举进程的,只列举了4e1c,4999(10进制)个进程,我很笨,在我的电脑上开了超过5000个calc(好像有点像疯子...仅仅为了做下测试...),然后用pspcidtable驱动列举进程的功能,发现没法列举出来.那个pid超过2W的程序运行正常.不知道这是不是一个疏忽~_~ 2009-8-27 14:46 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 18 楼建议使用XXART。。 2009-8-29 20:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

IT情深

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼呵呵,别人能开源就是不错了. 好使的东西要自己去做. 别偷懒... 2009-2-20 08:23 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 3 楼本来就是参考资料，又不是什么成熟产品，有什么好埋怨？自己搞个没BUG的去！ 2009-2-20 08:50 0
tashika 雪币： 297 活跃值： (53) 能力值： ( LV3，RANK：25 ) 在线值：发帖 17 回帖 170 粉丝 0 关注私信	tashika 4 楼楼主所述的测试过程平常人都可以做啊你把bug定位到代码行我们都ding你 2009-2-20 14:12 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 5 楼应该是你装了GDI++,使用了微软雅黑字体。 2009-2-20 14:20 0
IT情深雪币： 197 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	IT情深 6 楼 GDI++还要另外装吗？好像XPSP3自带的吧，我测试的机上没有装上面提到的字体，也没有启用ClearType,换别的有几个皮肤还是可以看清楚,显示器是SUMSUNG22寸宽屏，感觉应该不是显示器的问题，可能是作者Listview中的问题其实我想说的是做技术的内容似乎更重要点，其它也没有别的意思，发贴后我都担心大家骂我呢，呵呵，BSOD一次所以我才发出来的，傻子都知道的问题，一个进程被结束后，其占用的内存空间基本上已释放，此时再去访问程序不出错才怪，其实做好意外处理也不会导致程序崩溃的，而此时用驱动方式去结束的话，驱动程序访问了一个不存在的内存地址BSOD似乎也是理所当然的事 2009-2-21 00:24 0
IT情深雪币： 197 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	IT情深 7 楼奇怪，我就是用平常的方法试试而已啊， 2009-2-21 00:28 0
IT情深雪币： 197 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	IT情深 8 楼不好意思，得罪了，东西发出来就会有人评价的，请作者别介意 2009-2-21 00:32 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 9 楼需要共享精神也同样需要共享批评精神赞LZ一个 2009-2-21 00:45 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 10 楼呵呵，我来了~~~ 你说的非常中肯，我看了真的很感动-- 能这么用心的测试。你说的bug确实存在，而且我想肯定还有很多…… 因为这只是当时为了参加学校的比赛才匆忙中几天搞的，后来------最郁闷的是，那个比赛自从提交作品后就一直没消息了！！所以我就没心思去搞了。实在对不起大家，我真没想到这么多人关注。我想我应该再完善下去（你说的体积和内存问题你随便用vs2005编写个程序就知道了；进程刷新问题我的文档里面提到过，你没看到吧，呵呵） PS：我其实一点都不生气~~而且很开心，哈哈。 2009-2-21 00:48 0
IT情深雪币： 197 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 27 粉丝 0 关注私信	IT情深 11 楼兄弟人品不错，佩服！言辞多有得罪，请别介意，其实我是真的拿它来跟IceSword对比的，呵呵，我从来都没有用过VC，以前用C#，就是讨厌VS的庞大体积和运行环境，所以放弃了，以后也不想再用VS，我下载下来的目的真的只是想试试其功能，其实如果换做我的话我都做不出兄弟你这个样子来的，能实现3分之一的功能就不错了，努力学习中。。。！ 2009-2-21 03:11 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 12 楼建议去掉皮肤，用最原始的就很好 2009-3-2 21:55 0
dnybz 雪币： 66 活跃值： (940) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 13 楼 IT情深多熟悉的名字 2009-3-10 02:37 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 14 楼 ICE和KAV冲突 KsBinSword却没事有代码的话还是组织自己喜欢的东西比较好调试上也比较方便有BUG的话也可以自行修改 2009-3-10 09:40 0
xxagri 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xxagri 15 楼我也说几句,KsBinSword确实做得不错,我第一次用就把IceSword进程杀得无影无踪,一看代码,发现My_OpenProcess和KillProcess清零杀进程几个函数都做得很不错,真的不错,在开源代码中还没有看到这样好的程式.真的很不错. 2009-6-7 14:21 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 16 楼这要感谢那些原作者。我只是拼装起来而已。 2009-6-7 14:41 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 17 楼驱动层有一段 //对cid从0x0到0x4e1c进行遍历 for(i=0x0;i<0x4e1c;i++) { // ... } 就是根据pspcidtable列举进程的,只列举了4e1c,4999(10进制)个进程,我很笨,在我的电脑上开了超过5000个calc(好像有点像疯子...仅仅为了做下测试...),然后用pspcidtable驱动列举进程的功能,发现没法列举出来.那个pid超过2W的程序运行正常.不知道这是不是一个疏忽~_~ 2009-8-27 14:46 0
dplayer 雪币： 306 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	dplayer 1 18 楼建议使用XXART。。 2009-8-29 20:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复