[讨论] ring3下秒杀 360保险箱？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论] ring3下秒杀 360保险箱？

发表于: 2008-8-9 16:10 10791

[讨论] ring3下秒杀 360保险箱？

yulewanglu 活跃值

2008-8-9 16:10

10791

ring3下秒杀 360保险箱？

我想知道是怎么做到的我加了驱动都干不死他呢

他只hook了 2个内核函数就能如此牛逼

冰刃也干不了他 360保险真不错啊

哪位仁兄给个ring3下干他的思路或者驱动干他的代码也行啊

他只hook了2个关键函数貌似杀他的方法多但是我没思路

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (24)
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 2 楼 LZ 小心 MJ0011 2008-8-9 16:54 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 3 楼我也是在UNHOOKER中看到的，只要抹掉就可以了，可不知道怎么抹，那里写的是偏移量 2008-8-9 17:25 0
sudami 雪币： 709 活跃值： (2590) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 4 楼不给。  2008-8-9 17:49 0
samisgod 雪币： 239 活跃值： (20) 能力值： ( LV9，RANK：170 ) 在线值：发帖 18 回帖 276 粉丝 0 关注私信	samisgod 4 5 楼顶 2008-8-9 18:09 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 6 楼 KiFastCallEntry 2008-8-9 18:37 0
靴子雪币： 33 活跃值： (653) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 533 粉丝 1 关注私信	靴子 7 楼以己之矛，攻己之盾 2008-8-9 20:39 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 8 楼不知道向他的窗口发送垃圾消息会怎么样？ 2008-8-9 20:56 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 9 楼不知道如何用矛 2008-8-9 22:15 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 20 关注私信	Winker 8 10 楼从内部来吧。貌似可以。 PS：MJ0011可是出了名的脾气暴操。LZ小心了：P 2008-8-10 00:25 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 11 楼顶大米不要用Zw系列函数. 2008-8-10 08:47 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 12 楼我是恢复ZwY...了干掉的,可惜用了Zw...函数. 2008-8-10 10:16 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 13 楼直接微软标准函数就可以杀 2008-8-10 11:44 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 14 楼 MJ0011脾气暴躁他会不会过来扁我啊我好怕怕但是我还是想冒险知道如何杀他嘛不杀他 MJ0011他技术上不去啊 KeUserModeCallback 应该可以恢复吧如何恢复之啊恢复了这个好象他就失效了哦 2008-8-10 19:01 0
linsion 雪币： 206 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 59 粉丝 0 关注私信	linsion 15 楼用icesword 的一般hook扫描后找到两个关于他的hook, KeUserModeCallback 恢复这个随便什么工具都能杀恢复另外一个大概是可以把它的文件也删掉了 2008-8-11 09:20 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 16 楼用MJ的粉碎MJ的执行文件~~ 2008-8-11 11:45 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 17 楼 KeUserModeCallback 他有自动写回还是冰刃不行啊/？怎么点恢复刷新下又被hook了很是郁闷呢是不是冰刃问题啊他老是写回会不会很危险啊 2008-8-11 13:45 0
langouster 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	langouster 18 楼 KiFastCallEntry 2008-8-12 00:21 0
qy黄文超雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 155 粉丝 0 关注私信	qy黄文超 19 楼可以写个DLL注进去，直接调用EXITPROCESS就让他自己退出了，不知道行不行，大家可以试试。。。 2008-8-12 21:57 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 20 楼如果可以直接写dll进去的话那还叫什么保险箱啊叫垃圾箱算了啊我是想恢复他hook的函数然后秒之但是我不会呢 2008-8-13 01:59 0
qiuyiping 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	qiuyiping 21 楼表错情了，不好意思！上传的附件： ntdll.rar （190.14kb，997次下载） 2008-8-20 17:54 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 22 楼搜以前别人的分析，保险箱hook其他程序driver和GUI的通信，然后过滤。明显它只能去过滤rku、icesword这类正常已知程序的通信，加了自己的驱动不行？搞笑吧。 2008-8-20 21:17 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 23 楼加驱动干他容易啊可是过不了流氓没办法加载驱动 2008-8-20 23:34 0
zhangjunyu 雪币： 102 能力值： (RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	zhangjunyu 24 楼被MJ发现你们在讨论这个的话就惨了 2008-8-21 08:36 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 25 楼能加载驱动干他的方法就多了可是”流氓团伙“ 不让加载啊又找不到什么好方法加载驱动 2008-8-21 15:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yulewanglu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 2 楼 LZ 小心 MJ0011 2008-8-9 16:54 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 3 楼我也是在UNHOOKER中看到的，只要抹掉就可以了，可不知道怎么抹，那里写的是偏移量 2008-8-9 17:25 0
sudami 雪币： 709 活跃值： (2590) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 4 楼不给。  2008-8-9 17:49 0
samisgod 雪币： 239 活跃值： (20) 能力值： ( LV9，RANK：170 ) 在线值：发帖 18 回帖 276 粉丝 0 关注私信	samisgod 4 5 楼顶 2008-8-9 18:09 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 6 楼 KiFastCallEntry 2008-8-9 18:37 0
靴子雪币： 33 活跃值： (653) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 533 粉丝 1 关注私信	靴子 7 楼以己之矛，攻己之盾 2008-8-9 20:39 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 8 楼不知道向他的窗口发送垃圾消息会怎么样？ 2008-8-9 20:56 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 9 楼不知道如何用矛 2008-8-9 22:15 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 20 关注私信	Winker 8 10 楼从内部来吧。貌似可以。 PS：MJ0011可是出了名的脾气暴操。LZ小心了：P 2008-8-10 00:25 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 11 楼顶大米不要用Zw系列函数. 2008-8-10 08:47 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 12 楼我是恢复ZwY...了干掉的,可惜用了Zw...函数. 2008-8-10 10:16 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 13 楼直接微软标准函数就可以杀 2008-8-10 11:44 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 14 楼 MJ0011脾气暴躁他会不会过来扁我啊我好怕怕但是我还是想冒险知道如何杀他嘛不杀他 MJ0011他技术上不去啊 KeUserModeCallback 应该可以恢复吧如何恢复之啊恢复了这个好象他就失效了哦 2008-8-10 19:01 0
linsion 雪币： 206 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 59 粉丝 0 关注私信	linsion 15 楼用icesword 的一般hook扫描后找到两个关于他的hook, KeUserModeCallback 恢复这个随便什么工具都能杀恢复另外一个大概是可以把它的文件也删掉了 2008-8-11 09:20 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 16 楼用MJ的粉碎MJ的执行文件~~ 2008-8-11 11:45 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 17 楼 KeUserModeCallback 他有自动写回还是冰刃不行啊/？怎么点恢复刷新下又被hook了很是郁闷呢是不是冰刃问题啊他老是写回会不会很危险啊 2008-8-11 13:45 0
langouster 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	langouster 18 楼 KiFastCallEntry 2008-8-12 00:21 0
qy黄文超雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 155 粉丝 0 关注私信	qy黄文超 19 楼可以写个DLL注进去，直接调用EXITPROCESS就让他自己退出了，不知道行不行，大家可以试试。。。 2008-8-12 21:57 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 20 楼如果可以直接写dll进去的话那还叫什么保险箱啊叫垃圾箱算了啊我是想恢复他hook的函数然后秒之但是我不会呢 2008-8-13 01:59 0
qiuyiping 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	qiuyiping 21 楼表错情了，不好意思！上传的附件： ntdll.rar （190.14kb，997次下载） 2008-8-20 17:54 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 22 楼搜以前别人的分析，保险箱hook其他程序driver和GUI的通信，然后过滤。明显它只能去过滤rku、icesword这类正常已知程序的通信，加了自己的驱动不行？搞笑吧。 2008-8-20 21:17 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 23 楼加驱动干他容易啊可是过不了流氓没办法加载驱动 2008-8-20 23:34 0
zhangjunyu 雪币： 102 能力值： (RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	zhangjunyu 24 楼被MJ发现你们在讨论这个的话就惨了 2008-8-21 08:36 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 25 楼能加载驱动干他的方法就多了可是”流氓团伙“ 不让加载啊又找不到什么好方法加载驱动 2008-8-21 15:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复