某管家的自我保护很挫啊
2010-8-24 Nie.Meining Debug
今天看了看某管家的自我保护。用XueTr查看发现它的驱动对NtTerminateProcess进行了SSDT Hook。
于是逆向该驱动,把里面的FakeNtTerminateProcess抓出来看了看,发现该管家做事情相当纠结啊!
FakeNtTerminateProcess一开始先调用IoGetCurrentProcess()和PsGetCurrentProcessId()获得当前进程(即调用NtTerminateProcess的进程)的eproc和pid。
由于FakeNtTerminateProcess的参数中有目标进程的handle,于是它接下来通过ObReferenceObjectByHandle()由handle获得了目标进程的eproc。
接着通过对比当前进程的eproc和目标进程(即被terminate的进程)的eproc是否相等,来确定是不是自己结束自己,如果是就放行了。
如果不是自己结束自己,它又通过ObOpenObjectByPointer()将目标进程的eproc转换回参数里本来就有的handle(开始纠结了),然后通过ZwQueryInformationProcess()函数由handle获取目标进程的pid。这下他就有了当前进程和目标进程的pid,接下来他用当前进程和目标进程的pid分别取出这两个进程的名字。取法相当不给力:
hookport中的自我保护
2010-8-9 Nie.Meining Debug
今天无聊,看了下hookport中的自我保护部分。
360在KiFastCallEntry+0xe5的位置进行了hook,并且是两段跳,如图:
360在DriverEntry的最后调用sub_18FB2()函数对hook点的第一段跳进行保护,sub_18FB2代码如图:
链接
分类
最新日志
最新评论
- Crytonibnib
找到让钱包变厚的最快方法。 https:... - rtolikolw
<a href=https://hydr... - Crytonibnib
现在,世界各地的任何人都可以获得额外的收... - rtolikolw
<a href=https://hydr... - rtolikolw
<a href=https://hydr... - vehutraopl
<a href=https://godn... - Crytonibnib
财务独立是这个机器人的保证。 https... - butroklij
<a href=https://godn... - spokjotoh
<a href=https://godn... - retujikpo
<a href=https://godn...
存档
- 2017年5月(1)
- 2017年4月(1)
- 2017年3月(1)
- 2015年3月(1)
- 2014年11月(2)
- 2014年10月(2)
- 2014年8月(1)
- 2014年2月(2)
- 2014年1月(6)
- 2013年12月(15)
- 2012年11月(2)
- 2012年6月(1)
- 2012年3月(1)
- 2012年2月(3)
- 2011年12月(1)
- 2011年11月(1)
- 2011年5月(5)
- 2010年12月(1)
- 2010年11月(3)
- 2010年9月(3)
- 2010年8月(2)
- 2010年4月(1)
- 2010年3月(2)
- 2010年1月(1)
- 2009年12月(8)
- 2009年11月(2)
- 2009年10月(1)
- 2009年9月(1)
- 2009年8月(9)
- 2009年3月(3)
- 2008年7月(2)
- 2008年6月(1)
- 2008年5月(1)
- 2008年4月(5)
- 2008年2月(1)
- 2007年12月(2)
- 2007年11月(1)
- 2007年8月(1)
- 2007年7月(1)