能力值:
( LV9,RANK:610 )
|
-
-
2 楼
这种简单的hook不是没人能做出来,是Hook NtShutdownSystem效果不好,大家不这么干而已。当正常关机走到这一步时,系统环境已经被关的差不多了,你还能干啥~
|
能力值:
( LV9,RANK:610 )
|
-
-
3 楼
无窗口程序如果用ExitWindowsEx的话是必然要加载user32.dll的,还是老老实实搞它吧
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
呃~说的也是.好像还有一种是通过遍历当前系统所有进程,降低其权限,使其失去关机能力,这种方法似乎很好~
|
能力值:
( LV3,RANK:30 )
|
-
-
5 楼
直接HOOK winlogon.exe进程里的ExitWindowsEx就行了,据印象所有进程调用ExitWindowsEx后,最终winlogon.exe会再调用一次ExitWindowsEx,而winlogon.exe里的ExitWindowsEx调用不成功的话是不会关机的
还有HOOK CsrClientCallServer估计也行,猜的
|
能力值:
( LV9,RANK:290 )
|
-
-
6 楼
记得有个练习打字的软件,叫打定高手。开着的时候,按开机键也无视,可以研究一下看看他是Hook的哪个
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
HOOK CsrClientCallServer是阻止发送关机消息吗?
现在网络上的程序HOOK关机都是 针对某一窗口的.哎呀..
郁闷为什么就没有完美的阻止关机程序?
打定高手这么厉害??当时你玩的时候在什么系统中/?
|
能力值:
( LV12,RANK:420 )
|
-
-
8 楼
方法很多,hook csrss ,winlogon都可以
HOOK SHADOW 的API调用也可
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
....
各位老大都是高谈阔论啊!~~
关键是HOOK了这些进程对NTSHUTDOWNSYSTEM的调用后.系统仍然关机 。。
不知道 系统在关机过程中最重要的环节是什么
|
能力值:
( LV12,RANK:760 )
|
-
-
10 楼
拿起IDA看看ExitWindowsEx的代码~~
windbg断点一下
你会发现其实hook NtQueryInformationToken就行了~~
研究一下就懂了~~
思路要多变~~
ExitWindowsEx会先查询是否有权限关机,如果没有就不关了啊啊啊啊~~~~~
SSDT!ZwQueryInformationToken hooked
如果查询是3号,则把返回结构中的关机的那个SE_SHUTDOWN_NAME删除~~~具体怎么弄~~~请自己研究研究吧~~
SE_SHUTDOWN_NAME
或者
hook ZwAdjustPrivilegesToken来拒绝获得SE_SHUTDOWN_NAME的luid更好一些~~
查询结果中式LUID,所以要先在ring3把luid获取了(LookupPrivilegeValue),ring0在hook的结果里找到这个luid
如果这个Luid的属性是SE_PRIVILEGE_ENABLED,就将属性设置成0就可以做到了。
删除法比较复杂(涉及动态修改等东西)...很麻烦~~不多说了~~再说就是贴代码~
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
....很麻烦~~不多说了~~再说就是贴代码~ ....
俺想就算你贴了俺也看不懂..
嘿嘿!不过谢谢了..
好好研究研究
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
告诉大哥一个不幸的消息..只要ZwQueryInformationToken hooked被HOOK马上系统失去响应
|
能力值:
( LV12,RANK:760 )
|
-
-
13 楼
你hook的有问题~~~~我的某个小物品一直在用这个~~~
windbg在身边,一切问题都好搞定~
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
....
膜拜
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
我最近研究关机的dd,学习了
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
额·我最近研究 反关机的DD.学习了
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
学习一下楼上各位的方法
不知道wsyscheck的强制关机用的是什么方法?
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
乌啦啦.实际上到现在我还不知道咋弄
|
|
|