VBGood网站全文搜索 Google

搜索VBGood全站网页(全文搜索)

VB爱好者乐园(VBGood)

 找回密码
 立即注册
搜索
查看: 22836|回复: 75

Hovi.Delphic原创作品开源展示之二:Ring0下的简易反Rootkit工具(最新源码在#37)

[复制链接]
 楼主| 发表于 2009-7-28 10:55:09 | 显示全部楼层 |阅读模式
本帖最后由 VBProFan 于 2009-12-13 10:23 编辑

  此程序主要是遍历PspidTable和枚举系统句柄表获取进程信息,和冰刃相似。
  结束进程部分比冰刃强多了,冰刃仅仅是恢复NtOpenProcess + NtTerminateProcess的Inline-Hook再在驱动里调用这两个函数,而我直接在驱动里调用KeInsertQueueApc和PspExitThread。
  用“普通结束进程”能杀冰刃和狙剑。
  用“特殊结束进程”能杀陈辉大牛的天琊1.0-0228。
  用“常规结束进程”能杀那些HOOK SSDT保护自己的垃圾杀软,如瑞星、卡巴。
  用“强制结束进程”能杀360、PsNull、RkU、XueTr等Inline-Hook了SSDT但是没HOOK PsLookupProcessByProcessID和KeInsertQueueApc的AV和ARK。
  用“暴力结束进程”能杀Inline-HOOK KeInsertQueueApc的进程,如:IceLight 1.96.35、KV2009。
  杀不死微点1.2,因为它使用了Kernel EAT HOOK KeInsertQueueApc
  不懂这些专业名词的可以查一下《深入解析Windows NT操作系统》
  泡饭要给我加精啊!
  注意:里面killvv.sys可能会被杀软报为病毒,在下载前请先关闭杀软的文件防御。
  这个和上次那个Ultra Task Manager For Windows 7有本质的不同,上次那个查进程是基于Ring 3的,这个是基于Ring 0的。杀进程更不用说了,都调用了ntoskrnl.exe和HAL.EXE的函数,不进Ring 0的话你是无权调用这些函数的。
  仅仅能在xp下使用。在Windows 2003以后读写内核要用驱动!
 警告:不要把结束进程当成娱乐方式之一,否则电脑很可能给张蓝脸你看!

UTM4XP 完整可编译源码.rar

1.38 MB, 下载次数: 2737

点评

如果您对这款软件的原理感兴趣,可以花五百元人民币来购买源代码。  发表于 2011-1-24 19:05

评分

参与人数 12威望 +86 金钱 +20 人气 +12 收起 理由
sunfrank + 1 + 1 如果您对这款软件的原理感兴趣,可以花五百
junyuqin + 7 + 1 精品文章
Arorua + 1 发布源码
hfcas + 6 发布源码
ldy + 5 + 1 源码源码
zhaidoudou123 + 5 + 1 兼容性有待提高
VBProFan + 20 + 20 + 3 精品文章 + 发布源码
reker + 8 + 2 虽然我不会去用,但喜欢开源
cnlamb + 6 不错
bbadsl + 13 + 2 原创内容
ok100fenkeke + 8 + 1 good
新林 + 6 强烈支持!!!

查看全部评分

本帖被以下淘专辑推荐:

 楼主| 发表于 2009-7-28 11:05:52 | 显示全部楼层
驱动器 C 中的卷是 XP
卷的序列号是 84FE-C588

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-07-21  16:32    <DIR>          !FPLG
2009-07-20  23:06    <DIR>          !RES
2009-07-16  21:54    <DIR>          Drv
2009-07-21  16:22    <DIR>          Function
2009-07-21  15:56    <DIR>          Plugs
2009-06-15  21:10             9,922 cls_Driver.cls
2008-08-22  17:08             3,701 cls_HashTable.cls
2008-08-04  16:33            14,159 clsCRC32.cls
2009-05-29  13:23            59,904 FileTrust.DLL
2009-07-21  08:00             2,880 frmABOUT.frm
2009-07-21  08:00               188 frmABOUT.frx
2009-07-21  14:02            11,433 frmAllMod.frm
2009-07-21  14:02               124 frmAllMod.frx
2009-07-21  14:35             8,678 frmIOT.frm
2009-07-21  14:35                76 frmIOT.frx
2009-07-21  17:33            35,289 FrmMain.frm
2009-07-21  17:33             3,786 FrmMain.frx
2009-07-21  08:00             2,132 frmPLUGs.frm
2009-07-21  08:00                12 frmPLUGs.frx
2009-07-21  14:49             6,607 frmPM.frm
2009-07-21  14:49                12 frmPM.frx
2009-07-08  00:38             1,873 frmSTART.frm
2009-07-08  00:38             4,390 frmSTART.frx
2009-07-21  15:02             6,022 frmTM.frm
2009-07-21  15:02                12 frmTM.frx
2009-07-07  12:25             7,467 LzFixKrn.bas
2009-07-01  19:03            33,089 mNativeDeclares.bas
2009-07-01  00:49             1,439 mod_ActiveLinks.bas
2009-07-01  00:49             4,255 mod_EnablePrivilege.bas
2009-07-02  16:51             3,205 mod_EnumByHandle.bas
2009-07-01  00:49             1,725 mod_EnumDrivers.bas
2009-07-04  23:05             1,319 mod_EnumThread.bas
2009-07-04  23:10             1,154 mod_f_OperaProcesses.bas
2009-07-04  10:28             4,936 mod_r3ot.bas
2009-07-19  16:17             2,033 mod_ReadMemory.bas
2008-10-03  15:48             1,681 mod_SessionLinks.bas
2009-07-04  02:11             2,446 mod_y_ScanProc.bas
2009-07-21  15:16             6,693 mod_z_CopySAMFile.bas
2009-07-01  00:30             1,099 mod_z_DWarray.bas
2009-07-02  08:10                60 mod_z_FileTurst.bas
2009-07-01  02:24             1,736 mod_z_GetPPID.bas
2009-07-02  09:05             4,787 mod_z_IbDbgAtvProc.bas
2009-07-21  15:36             1,208 mod_z_KillFile.bas
2009-07-04  16:00            17,198 mod_z_PEinfo2.bas
2009-07-19  16:36            19,920 mod_z_PM1.bas
2009-07-11  23:15             2,493 mod_z_PM2.bas
2009-07-03  10:04               838 mod_z_R0FKP.bas
2009-07-03  09:59               868 mod_z_R0KP.bas
2009-06-16  11:10             8,689 Mod_z_RegAPI.bas
2009-07-19  14:55             1,051 mod_z_SetParent.bas
2009-07-21  15:14             3,710 mod_z_ShowDgFile.bas
2009-07-05  01:24             1,174 mod_z_Showpp.bas
2009-07-02  23:10             2,277 mod_z_WSKillProc.bas
2009-07-01  19:03            16,847 ModGetEprocess.bas
2009-07-07  14:35               465 ModMyDec.bas
2009-07-07  01:48             3,126 ModMyFunctions.bas
2009-07-04  15:59            17,005 modPEInfo.bas
2009-07-01  02:35             4,411 mProcess.bas
2009-07-08  00:38                10 SHOWMAIN.UTM
2009-07-06  01:01            13,680 SSDT.bas
2009-07-21  17:34           323,584 UTMWinXP.exe
2009-07-21  17:34             2,428 UTMWinXP.vbp
2009-07-21  17:34             1,791 UTMWinXP.vbw
2009-07-08  00:35             4,339 怎样使用.txt
              59 个文件        697,436 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-07-16  21:54    <DIR>          Shadow SSDT
2009-07-21  16:37    <DIR>          SSDT
2009-07-20  23:50    <DIR>          内核模块
2009-07-16  21:54    <DIR>          恢复Inline-Hook(Only XP)
2009-07-16  21:54    <DIR>          服务
2009-07-21  16:01    <DIR>          消息钩子
2009-07-16  21:54    <DIR>          硬件控制器
2009-07-16  21:54    <DIR>          端口
               0 个文件              0 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG\Shadow SSDT 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-04-20  13:07            50,864 CIcyListView.cls
2009-07-07  22:53             5,811 frmMain.frm
2009-07-07  22:53             3,786 frmMain.frx
2009-04-18  15:13             9,725 mdlDisasm.bas
2009-04-19  09:01             1,797 mdlDumpKernelMemory.bas
2009-04-19  16:29             7,839 mdlPortableExecutable.bas
2009-04-19  10:50             7,615 mdlShadowSSDT.bas
2009-06-21  22:47               196 MSSCCPRJ.SCC
2009-05-03  12:30           482,247 print scr.jpg
2009-05-03  12:26             3,574 Shadow SSDT.csi
2009-01-21  12:26               803 shadow ssdt.exe.manifest
2009-04-18  20:37            63,488 Shadow SSDT.lvw
2009-07-07  22:54               920 Shadow SSDT.vbp
2009-07-21  16:36               249 Shadow SSDT.vbw
2009-07-07  22:54           155,648 Shadow.exe
2009-04-19  15:59            77,652 Shadow_SSDT.RES
              16 个文件        872,214 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG\SSDT 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2008-04-09  21:46             2,714 Dump.frm
2008-04-09  21:46                12 Dump.frx
2009-07-21  16:36             4,920 List.frm
2009-07-21  16:36             3,786 List.frx
2009-06-21  20:11               189 MSSCCPRJ.SCC
2008-12-31  19:37            13,671 SSDT.bas
2009-07-21  16:37            49,152 SSDT.exe
2009-07-21  16:31    <DIR>          ssdt.old
2009-07-21  16:36               764 SSDT.vbp
2009-07-21  16:37               129 SSDT.vbw
               9 个文件         75,337 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG\SSDT\ssdt.old 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2007-11-22  13:25           127,052 ASM.RES
2009-07-21  16:06            13,695 Form1.frm
2009-07-21  16:06             3,786 Form1.frx
2009-07-21  16:08             1,022 HookViewer.vbp
2009-07-21  15:57               264 HookViewer.vbw
2008-08-20  18:09             5,839 mFilePE.bas
2008-10-01  11:49             2,706 mKernelModule.bas
2008-04-19  00:38             2,756 mMapIntoMemory.bas
2008-04-19  00:38             7,044 mMemoryControl.bas
2008-10-01  11:49            12,226 mod_MapMemory.bas
2008-04-22  00:54             2,087 mPeGetExports.bas
2009-07-05  10:29             7,903 mProcess.bas
2008-10-01  11:51             4,424 mSetStyle.bas
2008-04-25  02:29               195 MSSCCPRJ.SCC
2008-04-23  23:45             1,519 mStrCheck.bas
2009-07-11  21:46           212,992 SSDT.exe
              16 个文件        405,510 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG\内核模块 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-05-29  13:23            59,904 FileTrust.DLL
2009-07-20  23:49             7,805 Form1.frm
2009-07-20  23:49             3,786 Form1.frx
2009-07-20  23:50            49,152 KnMod.exe
2009-07-20  23:50               698 工程1.vbp
2009-07-20  23:50                50 工程1.vbw
               6 个文件        121,395 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG\恢复Inline-Hook(Only XP) 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-07-11  21:43             2,669 form1.frm
2008-12-15  16:49             4,652 mEnumKernelModule.bas
2008-12-15  16:49             2,791 mMapFileIntoMemory.bas
2009-06-11  15:38            12,628 mod_MapMemory.bas
2008-12-15  16:49             5,402 mSSDTHookProcess.bas
2009-07-11  21:48               880 Project1.vbp
2009-07-11  21:48               212 Project1.vbw
2009-07-11  21:48            32,768 恢复InlineHook.exe
               8 个文件         62,002 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG\服务 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2008-07-09  16:59               219 frmAdd.frx
2009-06-26  22:01             2,995 frmInfo.frm
2009-06-26  22:01                12 frmInfo.frx
2009-07-07  23:04             7,038 frmMain.frm
2009-07-07  23:04             3,786 frmMain.frx
2009-06-26  21:49               197 MSSCCPRJ.SCC
2008-07-09  17:53             2,277 SimpleSVCMGR.csi
2008-07-09  17:00            63,488 SimpleSVCMGR.lvw
2009-07-07  23:04               898 SimpleSVCMGR.vbp
2009-07-21  16:33               104 SimpleSVCMGR.vbw
2009-07-07  23:04            49,152 服务.exe
              11 个文件        130,166 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG\消息钩子 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2006-01-24  11:32               756 appres.res
2009-07-21  16:01             7,092 frmMain.frm
2009-07-21  16:01             3,786 frmMain.frx
2009-04-20  21:09             4,359 ModKernelMemory.bas
2009-07-06  16:07             1,103 ModMain.bas
2009-07-01  21:58            13,153 ModMsgHook.bas
2009-07-01  21:58            16,540 ModOpenProcess.bas
2009-04-19  10:07             4,277 ModPrivilege.bas
2009-07-01  21:58             1,374 ModProcess.bas
2009-06-17  14:02             3,085 ModWindow.bas
2009-07-21  16:01            49,152 MsgHooks.exe
2009-07-21  16:01             1,034 MsgHooks.vbp
2009-07-21  16:01               314 MsgHooks.vbw
2009-06-16  19:38               193 MSSCCPRJ.SCC
              14 个文件        106,218 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG\硬件控制器 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-07-06  15:24             4,778 Form1.frm
2009-06-18  18:52               190 MSSCCPRJ.SCC
2007-12-31  19:20            23,992 VBHardwareController.cls
2009-07-06  15:26               817 工程1.vbp
2009-07-06  15:26                79 工程1.vbw
2009-07-06  15:24            40,960 硬件控制器.exe
               6 个文件         70,816 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!FPLG\端口 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-07-07  23:08             2,951 frmMain.frm
2009-07-07  23:08             3,786 frmMain.frx
2007-03-27  02:08               696 GetNetInfo.RES
2009-07-07  23:09               793 GetNetInfo.vbp
2009-07-07  23:09               123 GetNetInfo.vbw
2008-08-03  12:08            49,252 modNetInfo.bas
2008-01-30  19:15             2,363 modPrivilege.bas
2008-01-30  19:15               195 MSSCCPRJ.SCC
2009-07-07  23:08            57,344 Port.exe
               9 个文件        117,503 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!RES 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-07-03  09:09             8,573 mykill.rar
2009-07-04  00:31                26 ntoskrnl.txt
2009-07-05  10:47             1,068 Test AV+ARK.txt
2009-06-29  22:41             3,774 UTM.ico
2009-07-16  21:54    <DIR>          使用ForceKill
2009-07-03  09:15               218 暴力结束进程.txt
2009-07-03  00:04         1,018,412 系统设置.exe
2009-07-04  00:30                39 阻止启动.txt
               7 个文件      1,032,110 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\!RES\使用ForceKill 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-07-05  23:54            24,576 CHFK.ddt
2009-07-06  01:48            11,727 Form1.frm
2009-07-05  23:51             1,747 Module1.bas
2008-06-20  16:42            22,016 MyKill.sys
2009-06-29  06:33             8,577 MyKill[key=mykill].rar
2009-07-06  01:48               778 工程1.vbp
2009-07-06  01:48                81 工程1.vbw
2009-07-06  01:48            36,864 暴力结束进程.exe
               8 个文件        106,366 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\Drv 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2008-03-26  21:48             4,608 killvv.sys
2009-01-22  11:50             2,560 PsDrv.sys
2008-06-03  02:39             3,968 SuperKillFile.sys
2009-07-03  09:53             5,895 utmdrv.rar
               4 个文件         17,031 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\Function 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-05-29  13:23            59,904 FileTrust.DLL
2009-07-20  23:50            49,152 KnMod.exe
2009-07-21  16:01            49,152 MsgHooks.exe
2009-07-07  23:08            57,344 Port.exe
2009-07-07  22:54           155,648 Shadow.exe
2009-07-21  16:37            49,152 SSDT.exe
2009-07-07  23:04            49,152 SVCMGR.exe
               7 个文件        469,504 字节

C:\Documents and Settings\Admin\桌面\UTM4XP 完整可编译源码\Plugs 的目录

2009-07-28  11:03    <DIR>          .
2009-07-28  11:03    <DIR>          ..
2009-07-06  00:00            24,576 CHFK.ddt
2009-06-18  21:47            10,752 FCP.dll
2009-07-12  12:57            20,480 FCP.UTM
2009-07-06  01:48            36,864 FKP.utm
2005-03-14  14:06             6,656 krmem.dll
2008-06-20  16:42            22,016 mykill.sys
2009-07-11  21:48            32,768 Restore Inline.exe
2009-07-11  21:57                29 Restore Inline.txt
2005-03-15  00:04            28,672 Show IDT.exe
2009-07-20  23:37                16 Show IDT.txt
              10 个文件        182,829 字节

     所列文件总数:
             190 个文件      4,466,437 字节
              47 个目录  3,030,368,256 可用字节
回复 支持 反对

使用道具 举报

发表于 2009-7-28 11:16:50 | 显示全部楼层
强烈支持!!!
回复 支持 反对

使用道具 举报

头像被屏蔽
发表于 2009-7-28 11:18:54 | 显示全部楼层
你发得东西不错哦

评分

参与人数 1人气 +1 收起 理由
hovidelphic + 1 在百度上加了你为好友。

查看全部评分

回复 支持 反对

使用道具 举报

发表于 2009-7-28 11:21:06 | 显示全部楼层
下载完支持下楼主
回复 支持 反对

使用道具 举报

发表于 2009-7-28 12:04:39 | 显示全部楼层
解禁了?哈哈!路过祝贺一下~

评分

参与人数 1人气 +1 收起 理由
hovidelphic + 1 给我++++++++++++++++++++++++++++++++++++

查看全部评分

回复 支持 反对

使用道具 举报

发表于 2009-7-28 15:06:51 | 显示全部楼层
本帖最后由 zhaidoudou123 于 2009-7-28 15:09 编辑

获取不到进程啊。。。
运行后在列表中看不见任何进程
任务管理器轻松结束

评分

参与人数 1人气 +1 收起 理由
hovidelphic + 1 1.只能在XP下使用 2.根本没有自我保护

查看全部评分

回复 支持 反对

使用道具 举报

发表于 2009-7-28 15:23:06 | 显示全部楼层
Windows XP SP3啊。。
回复 支持 反对

使用道具 举报

发表于 2009-7-28 15:23:18 | 显示全部楼层
貌似发言了都加分,我也顶一下.....

评分

参与人数 1威望 +1 收起 理由
44670 + 1 真的?

查看全部评分

回复 支持 反对

使用道具 举报

发表于 2009-7-28 15:29:47 | 显示全部楼层
兼容性有待提高
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

文字版|手机版|小黑屋|VBGood  

GMT+8, 2019-8-25 23:33

VB爱好者乐园(VBGood)
快速回复 返回顶部 返回列表