VBGood网站全文搜索 Google

搜索VBGood全站网页(全文搜索)

VB爱好者乐园(VBGood)

 找回密码
 立即注册
搜索
楼主: xiaoly99

[原创] 稳定进程保护(新版本18楼)

[复制链接]
发表于 2009-12-30 23:18:07 | 显示全部楼层
在DebugMan上转的几个方法:


(1)ZwLoadDriver激情加载,
假设某合法驱动ABC Boot=3存在注册表项 ABC,且ABC未加载过,那么我们在注册表Users\\Software下写个自己的ImagePath路径的ABC,用ZwLoadDriver加载这个注册表路径,那么有些白痴的防火墙会放过我们的加载

(2)寄宿加载,如http://www.debugman.com/read.php?tid=2974所说的

(3)DLL加载
某人发的比较模糊,我XX再XX也没能理解,无所谓啦
a.rdpdd.dll,这玩意是驱动啊,用某种方式替换rdpdd.dll,方法简单开可双开的3389(代码网上可以baidu到),然后本地连接3389(用TCP socket做RDP协议交互,代码也可以baidu到).
b.atmfd.dll,type1字体库啊,type1字体库啊,先往字体目录扔个Type1的字体文件(自己携带),然后替换Atmfd.dll,然后调用某些XX在自己在某个HDC上使用Type1字体,哦也~
c.vgaXXX,这些玩意是XX行为导致加载的...具体没测试,先模糊处理了
d.ati*.dll,爆黄的东西,居然可以动态XX
e.打印机...
f.某些影片的解码辅助,它们真的是驱动...
g.某人爆料的过度模糊的东西

(4)信任替换,老话题:文件替换的Beep,注册表替换的Beep

(5)Crash Dump加载,具体找MJ0011的文章

(6)其他...模糊模糊

PS:对于服务器主机,rdpdd.dll可以等待外部引发法
回复 支持 反对

使用道具 举报

发表于 2009-12-31 01:25:44 | 显示全部楼层
好搞笑。LZ好有才
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-12-31 17:43:51 | 显示全部楼层
新版本 带进程反杀

FyProcPt.rar

69.37 KB, 阅读权限: 21, 下载次数: 29

exe+scr

评分

参与人数 3威望 +10 人气 +3 收起 理由
jzy123456 + 2 + 1 太强了,真的反杀了
hovidelphic + 1 礼貌性加分
lianggaochuan + 8 + 1 突然发现21权限的我也...

查看全部评分

回复 支持 反对

使用道具 举报

发表于 2009-12-31 18:15:14 | 显示全部楼层
突然发现21权限我也能下载..
回复 支持 反对

使用道具 举报

发表于 2009-12-31 18:27:19 | 显示全部楼层
建议xiaoly99网友使用WDK7编译驱动,DDK已经成为了历史。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-12-31 19:04:09 | 显示全部楼层
再发一个新的 在WellModule文件夹下有hookObReferenceObjectByHandle.hhookNtOpenProcess.h
稳定防蓝屏
PS:庆贺liangguochang网友阅读权限到40 用户组高级程序员

FyProcPt.rar

68.95 KB, 阅读权限: 41, 下载次数: 15

回复 支持 反对

使用道具 举报

发表于 2009-12-31 19:06:39 | 显示全部楼层
阚凯力~看看
回复 支持 反对

使用道具 举报

发表于 2009-12-31 19:31:41 | 显示全部楼层
44# xiaoly99 带进程反杀 没效果
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-12-31 19:45:56 | 显示全部楼层
  1.         if (peProcess == (ULONG)pKill){ClientId->UniqueProcess = PsGetCurrentProcessId();}
复制代码
回复 支持 反对

使用道具 举报

发表于 2009-12-31 20:04:07 | 显示全部楼层
50# xiaoly99

你代码有问题 。检查下.
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

文字版|手机版|小黑屋|VBGood  

GMT+8, 2022-6-29 21:26

VB爱好者乐园(VBGood)
快速回复 返回顶部 返回列表