用ObRegisterCallbacks实现进程防杀
之前做了xp下的进程防杀,现在这个用于WIN7,采用的是回调的方式。没什么技术含量,会的人赶紧飞开。
源码和bin我都上传了。
欢迎kman来继续杀进程。
有兴趣的可以帮我测试下,步骤如下:
1、由于我的驱动未签名,所以需要在虚拟机里运行,并且要修改下内核,否则ObRegisterCallbacks会返回错误0xC0000022。
//bp nt!ObRegisterCallbacks+0xf5 ".if(1){ r @eax=1; gc; }.else{gc;}"
//bp nt!ObRegisterCallbacks+0x109 ".if(1){ r @eax=1; gc; }.else{gc;}"
//
//或者
//
//ew ObRegisterCallbacks+0xf7 0x9090
//ew ObRegisterCallbacks+0x10b 0x9090
或者
注册回调前加段代码,改一个比特位就解决了 // mccoysc提供的方法
代码:
PLDR_DATA_TABLE_ENTRY pLdrEntry=(PLDR_DATA_TABLE_ENTRY)pDrvObj->DriverSection;
pLdrEntry->Flags |=0x20;
2、进入虚拟机后,把bin里的文件拷贝到c盘根目录下。
3、运行InstDrv.exe,把驱动new_MoniProcess32.sys加载起来,再运行AntiCrack.exe。然后就可以试着强杀AntiCrack.exe了。之前kman的oooshit.exe和oooshit2.exe也杀不了的,呵呵。
注:任务管理器的结束任务可以杀掉AntiCrack.exe,至于为什么,我还要研究下。
**** Hidden Message ***** DDDDDDDDDDDDDDDDDDDDD :D:D 学习学习 支持了。谢谢啊! 谢谢分享!。。。。。。。。。。。。。。 不错.
页:
[1]