[求助]请大家帮忙看一下这个小工具是通过什么函数杀挂钩OPENPROCESS的进程的？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (32) ◀ 1 2
jackalan 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jackalan 26 楼杀一个OPENPROCESS的进程有没有必要RING0？不用这么复杂吧，难道3下就没法杀掉挂钩OPENPROCESS的进程吗？ 2008-11-14 16:28 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 27 楼也可以Pvase 还可以 KeStackAttachProcess((PRKPROCESS)eprocess,&apcstate); status = ZwTerminateProcess(0,0); if (NT_SUCCESS(status)) KeUnstackDetachProcess(&apcstate); } ring0太多了 ring3 job吧目前挺火的 2008-11-14 17:18 0
jackalan 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jackalan 28 楼是的，C/S架构的程序，如果客户端用驱动那就麻烦大了，因为很多机器上装了防护软件，加载驱动会有提示，如果员工按个不允许加载，就没办法了。200多台机器不可能每台都去弄一下的。谢谢楼上的兄弟，我马上就去试试。感谢所有帮助我的兄弟，这次任务多亏大家的帮忙，但愿今天就能搞定。 2008-11-14 17:26 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 29 楼从csrss里dumphandle，然后结束所有的线程~ 2008-11-14 21:32 0
网络游侠雪币： 0 活跃值： (984) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 972 粉丝 15 关注私信	网络游侠 30 楼开SE特权，也能A到hook OpenProcess强！ 2008-11-15 06:05 0
jackalan 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jackalan 31 楼 [QUOTE=;]...[/QUOTE] 原来RING 3 下还有这么多方法，受教了。现在基本上已经搞定任务了，这次任务让我受益匪浅，感谢各位！从csrss里dumphandle不知道是否有实做参考一下呢？不知道如何下手。 2008-11-15 09:46 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 32 楼 CsrWalker也能获取进程 2008-11-15 10:56 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 33 楼线程注入~~~ 2008-11-15 10:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (32) ◀ 1 2
jackalan 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jackalan 26 楼杀一个OPENPROCESS的进程有没有必要RING0？不用这么复杂吧，难道3下就没法杀掉挂钩OPENPROCESS的进程吗？ 2008-11-14 16:28 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 27 楼也可以Pvase 还可以 KeStackAttachProcess((PRKPROCESS)eprocess,&apcstate); status = ZwTerminateProcess(0,0); if (NT_SUCCESS(status)) KeUnstackDetachProcess(&apcstate); } ring0太多了 ring3 job吧目前挺火的 2008-11-14 17:18 0
jackalan 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jackalan 28 楼是的，C/S架构的程序，如果客户端用驱动那就麻烦大了，因为很多机器上装了防护软件，加载驱动会有提示，如果员工按个不允许加载，就没办法了。200多台机器不可能每台都去弄一下的。谢谢楼上的兄弟，我马上就去试试。感谢所有帮助我的兄弟，这次任务多亏大家的帮忙，但愿今天就能搞定。 2008-11-14 17:26 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 29 楼从csrss里dumphandle，然后结束所有的线程~ 2008-11-14 21:32 0
网络游侠雪币： 0 活跃值： (984) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 972 粉丝 15 关注私信	网络游侠 30 楼开SE特权，也能A到hook OpenProcess强！ 2008-11-15 06:05 0
jackalan 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jackalan 31 楼 [QUOTE=;]...[/QUOTE] 原来RING 3 下还有这么多方法，受教了。现在基本上已经搞定任务了，这次任务让我受益匪浅，感谢各位！从csrss里dumphandle不知道是否有实做参考一下呢？不知道如何下手。 2008-11-15 09:46 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 32 楼 CsrWalker也能获取进程 2008-11-15 10:56 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 33 楼线程注入~~~ 2008-11-15 10:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复