[求助]关于堕落天才的那个对抗Ring0的代码-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 2 楼 return STATUS_ACCESS_DENIED 2009-3-22 10:41 0
easystone 雪币： 27 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 0 关注私信	easystone 1 3 楼问题1: 这个代码是用来绕过inline hook的问题2: 对NtOpenProcess的参数进行判断发现要拒绝的进程返回STATUS_ACCESS_DENIED 2009-3-22 11:14 0
SuFaq 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	SuFaq 4 楼这就是有些软件用来判断创建进程的父进程的身份的原型 2009-3-22 12:00 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 5 楼 NTSTATUS MyNtOpenProcess(PHANDLE ProcessHandle, //__declspec(naked) ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId) //__declspec(naked)告诉编译器，在编译的时候，不要优化代码 { if(ProcessHandle!=NULL) { DbgPrint("NtOpenProcess() called"); return STATUS_ACCESS_DENIED; } __asm{ push 0C4h push 804eb0d8h //共十个字节 //804e3890 //805727c7 Ntopenprocess //804eb0d8 jmp [JmpAddress] } } 这样写不行啊！！！！ 2009-3-22 14:48 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 6 楼你也太疯狂了，会出问题的 2009-3-22 14:51 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 7 楼都naked了，还用高级语法，这样堆栈都被破坏了。 2009-3-23 20:12 0
pathletboy 雪币： 182 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 375 粉丝 1 关注私信	pathletboy 2 8 楼 pushad call myproc popad 可以调用自己另外的函数做处理，需要的参数可以传递给myproc。 2009-3-23 20:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 2 楼 return STATUS_ACCESS_DENIED 2009-3-22 10:41 0
easystone 雪币： 27 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 0 关注私信	easystone 1 3 楼问题1: 这个代码是用来绕过inline hook的问题2: 对NtOpenProcess的参数进行判断发现要拒绝的进程返回STATUS_ACCESS_DENIED 2009-3-22 11:14 0
SuFaq 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	SuFaq 4 楼这就是有些软件用来判断创建进程的父进程的身份的原型 2009-3-22 12:00 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 5 楼 NTSTATUS MyNtOpenProcess(PHANDLE ProcessHandle, //__declspec(naked) ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId) //__declspec(naked)告诉编译器，在编译的时候，不要优化代码 { if(ProcessHandle!=NULL) { DbgPrint("NtOpenProcess() called"); return STATUS_ACCESS_DENIED; } __asm{ push 0C4h push 804eb0d8h //共十个字节 //804e3890 //805727c7 Ntopenprocess //804eb0d8 jmp [JmpAddress] } } 这样写不行啊！！！！ 2009-3-22 14:48 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 6 楼你也太疯狂了，会出问题的 2009-3-22 14:51 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 7 楼都naked了，还用高级语法，这样堆栈都被破坏了。 2009-3-23 20:12 0
pathletboy 雪币： 182 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 375 粉丝 1 关注私信	pathletboy 2 8 楼 pushad call myproc popad 可以调用自己另外的函数做处理，需要的参数可以传递给myproc。 2009-3-23 20:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复