[求助]监视windows服务创建的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 2 楼坐沙发等待各位大牛的指点 2009-9-24 11:40 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 3 楼这些大部分都是通过NdrClientCall来发送RPC请求给 Services.exe实现的 RPC通讯在各个平台上依赖的API各不相同，基本上 win2000:NtFsControlFile xp,2003:NtRequestWaitReplyPort vista,2008.win7 :NtAlpcSendWaitReceivePort 你需要拦截这些通讯并分析其通讯协议 2009-9-24 13:54 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 4 楼天呐这么麻烦呀我还以为会像hook ZwCreateFile那样也钩个什么Zw函数就ok了呢感谢 qihoocom 大牛对偶问题的解答 3x 2009-9-24 14:33 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 5 楼这些都是Zw函数呀~ 2009-9-24 14:35 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 6 楼我知道都是 Zw函数可是涉及到协议了听到 “协议”这词儿就怕怕更况且还要分析不过还是很想知道都涉及到哪些协议？如何分析？继续感谢 qihoocom大牛 2009-9-24 14:50 0
寒冰心结雪币： 7992 活跃值： (2566) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 7 楼呵呵.. 你要和我一样懒的话...就直接点.. 把IopLoadDriver给HOOK了..或者 MmLoadImage也行.. 不管是ZwLoadDriver还是SCM法.这两个地方必走的....省的还要单独处理..(说实话.这也很老套了.某杀软几百年前都用过了.).. Hook一个就代替了上面那么多. 2009-9-24 15:00 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 8 楼刚刚开始ring0这块儿的编程现在暂时还只会Hook SSDT 傷遺忘兄的方法找ZwLoadDriver和SCM调用的共通点确实是非常不错的主意很赞啊以后会更加努力hook的 2009-9-24 15:10 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 9 楼拦截loaddriver的话，找不到加载驱动的进程呵呵，这是个很严重的缺陷，也是大家为什么要拦通讯的原因 2009-9-24 15:30 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 10 楼用NtRequestWaitReplyPort 翻了一下g.cn 个人感觉 qihoocom 所说的 “分析通讯协议” 应该指的就是分析此函数的第二个参数 IN PLPC_MESSAGE Request 吧根据struct _LPC_MESSAGE 中的信息判断这次LPC请求的内容是否为通知services.exe创建服务不知偶的理解考不靠谱儿 2009-9-24 16:30 0
小麒麟雪币： 407 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	小麒麟 11 楼 _LPC_MESSAGE 中是没有什么有用信息的，信息在他后面data里面 2009-10-9 15:33 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 12 楼 ClientId 2009-10-9 15:42 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 13 楼在ring3下可以用detours库去拦截 2009-10-9 18:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 2 楼坐沙发等待各位大牛的指点 2009-9-24 11:40 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 3 楼这些大部分都是通过NdrClientCall来发送RPC请求给 Services.exe实现的 RPC通讯在各个平台上依赖的API各不相同，基本上 win2000:NtFsControlFile xp,2003:NtRequestWaitReplyPort vista,2008.win7 :NtAlpcSendWaitReceivePort 你需要拦截这些通讯并分析其通讯协议 2009-9-24 13:54 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 4 楼天呐这么麻烦呀我还以为会像hook ZwCreateFile那样也钩个什么Zw函数就ok了呢感谢 qihoocom 大牛对偶问题的解答 3x 2009-9-24 14:33 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 5 楼这些都是Zw函数呀~ 2009-9-24 14:35 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 6 楼我知道都是 Zw函数可是涉及到协议了听到 “协议”这词儿就怕怕更况且还要分析不过还是很想知道都涉及到哪些协议？如何分析？继续感谢 qihoocom大牛 2009-9-24 14:50 0
寒冰心结雪币： 7992 活跃值： (2566) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 7 楼呵呵.. 你要和我一样懒的话...就直接点.. 把IopLoadDriver给HOOK了..或者 MmLoadImage也行.. 不管是ZwLoadDriver还是SCM法.这两个地方必走的....省的还要单独处理..(说实话.这也很老套了.某杀软几百年前都用过了.).. Hook一个就代替了上面那么多. 2009-9-24 15:00 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 8 楼刚刚开始ring0这块儿的编程现在暂时还只会Hook SSDT 傷遺忘兄的方法找ZwLoadDriver和SCM调用的共通点确实是非常不错的主意很赞啊以后会更加努力hook的 2009-9-24 15:10 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 9 楼拦截loaddriver的话，找不到加载驱动的进程呵呵，这是个很严重的缺陷，也是大家为什么要拦通讯的原因 2009-9-24 15:30 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 10 楼用NtRequestWaitReplyPort 翻了一下g.cn 个人感觉 qihoocom 所说的 “分析通讯协议” 应该指的就是分析此函数的第二个参数 IN PLPC_MESSAGE Request 吧根据struct _LPC_MESSAGE 中的信息判断这次LPC请求的内容是否为通知services.exe创建服务不知偶的理解考不靠谱儿 2009-9-24 16:30 0
小麒麟雪币： 407 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	小麒麟 11 楼 _LPC_MESSAGE 中是没有什么有用信息的，信息在他后面data里面 2009-10-9 15:33 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 12 楼 ClientId 2009-10-9 15:42 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 13 楼在ring3下可以用detours库去拦截 2009-10-9 18:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复