在线搜索
|
有问题找看雪
进程保护的逆向,附源码
标 题:
进程保护的逆向,附源码
作 者:
BiffoLee
时 间:
2011-10-25 20:48:41
链 接:
http://bbs.pediy.com/showthread.php?t=141902
驱动是来自MJ0011在08年放出来的驱动,无聊的时候逆了一下。
http://www.debugman.com/thread/1122/1/1
引用:
看到有人诟病360的自我保护,又见江民、微点等一堆国内挫人使用一大堆HOOK对自己的进程做保护
导致系统不稳定还保护不住
于是放点东西出来给大家玩玩,欢迎挑战
测试程序没有使用任何HOOK技术,没有使用任何DKOM技术,完全使用微软标准函数、标准接口,却让无数号称强大的ARK、结束进程工具望之兴叹!
以下是无法结束本测试程序的程序列表,欢迎各位测试自己的工具,逐步更新此表
Icesword 1.22 --- failed
RKU 3.7 --- failed
gmer 1.14 --- failed
SnipeSword 20080225 --- failed
Wsyscheck 20080223 --- failed
墨者安全专家进程管理3.05 --- failed
DarkSpy 1.0.5 --- failed
SysProt 1.0.0.5 --- failed
挑战规则:
让进程退出
禁止:
不允许攻击窗口
不允许恢复驱动使用标准函数建立的接口等
不允许破坏驱动内部数据或代码流程(例如保护PID值)
不允许类似上面的技巧
测试程序见压缩包:
测试方法:使用Driver Monitor或DrvLoad等工具加载ppxx.sys
运行ppxx.exe
其实我很菜,练手而已。
上传的附件
ida_ppxx.rar
src_ppxx.rar
原东西_ppxx.rar