[求助]请教个问题,除了SSDThook,r0inlinehook,还有哪些可以防止进程被打开的?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (36) ◀ 1 2
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 26 楼但我也没看到他钩了哪个地方呀..... 刚看到TX的游戏也是,好象和rku差不多吧,. 2008-12-25 20:52 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 27 楼试了下，用Process Explorer暂停了RKU的恢复线程后，恢复他挂的三个函数的钩子，可用任务管理器轻松结束RKU 3.7 TX的游戏我就不管了，会被和谐的 2008-12-25 20:56 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 21 关注私信	weolar 10 28 楼貌似 TesSafe挂了ObOpenObjectByPointer ，和读写虚存的函数。。。。。。 2008-12-25 21:00 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 29 楼恩,很谢谢楼上的,我主要是想知道一个原理,不必要你帮我解答TX游戏上面的问题,能告诉我RKU我已经很高兴了,呵呵 2008-12-25 21:39 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 30 楼我都看了,RKU和tessafe都没有挂ObOpenObjectByPointer函数,读写内存函数到是挂了. 我现在的问题是要打开RKU的进程,在R3. 2008-12-25 21:40 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 31 楼在R3除了用一些东西改写R0内存，基本是很困难了~ 2008-12-25 22:02 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 32 楼这个我明白,其实我是想知道他是什么原理保护进程的,然后自己想方法是否可以写驱动来饶过他的保护可以在R3来打开.现在连他怎么保护的都不清楚... 2008-12-25 22:12 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 33 楼保护的原理就是拦截了对进程和线程的open和duplicate啊！ hook NtOpenProcess , NtOpenThread , NtDuplicateObject,外加开个线程定时恢复，就这么简单！ 2008-12-25 22:16 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 34 楼这点我明白,不过我看了一下就是没有钩这几个函数,就是想不明白怎么回事,为什么还是打不开进程! 2008-12-25 23:14 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 21 关注私信	weolar 10 35 楼你没看仔细吧。单步调试一下。有时候光看是很难看明白的。比如它跳转到某个地址，结果这个跳转到的地址被修改了。你粗看起来以为这是系统正常的跳转。 2008-12-25 23:22 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 36 楼 windbg可以下断 2008-12-25 23:32 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 37 楼一语惊醒梦中人,...捆饶我2天了,感谢weolar 这句经典名言! 2008-12-26 00:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (36) ◀ 1 2
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 26 楼但我也没看到他钩了哪个地方呀..... 刚看到TX的游戏也是,好象和rku差不多吧,. 2008-12-25 20:52 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 27 楼试了下，用Process Explorer暂停了RKU的恢复线程后，恢复他挂的三个函数的钩子，可用任务管理器轻松结束RKU 3.7 TX的游戏我就不管了，会被和谐的 2008-12-25 20:56 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 21 关注私信	weolar 10 28 楼貌似 TesSafe挂了ObOpenObjectByPointer ，和读写虚存的函数。。。。。。 2008-12-25 21:00 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 29 楼恩,很谢谢楼上的,我主要是想知道一个原理,不必要你帮我解答TX游戏上面的问题,能告诉我RKU我已经很高兴了,呵呵 2008-12-25 21:39 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 30 楼我都看了,RKU和tessafe都没有挂ObOpenObjectByPointer函数,读写内存函数到是挂了. 我现在的问题是要打开RKU的进程,在R3. 2008-12-25 21:40 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 31 楼在R3除了用一些东西改写R0内存，基本是很困难了~ 2008-12-25 22:02 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 32 楼这个我明白,其实我是想知道他是什么原理保护进程的,然后自己想方法是否可以写驱动来饶过他的保护可以在R3来打开.现在连他怎么保护的都不清楚... 2008-12-25 22:12 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 33 楼保护的原理就是拦截了对进程和线程的open和duplicate啊！ hook NtOpenProcess , NtOpenThread , NtDuplicateObject,外加开个线程定时恢复，就这么简单！ 2008-12-25 22:16 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 34 楼这点我明白,不过我看了一下就是没有钩这几个函数,就是想不明白怎么回事,为什么还是打不开进程! 2008-12-25 23:14 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 21 关注私信	weolar 10 35 楼你没看仔细吧。单步调试一下。有时候光看是很难看明白的。比如它跳转到某个地址，结果这个跳转到的地址被修改了。你粗看起来以为这是系统正常的跳转。 2008-12-25 23:22 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 36 楼 windbg可以下断 2008-12-25 23:32 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 37 楼一语惊醒梦中人,...捆饶我2天了,感谢weolar 这句经典名言! 2008-12-26 00:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复