用ObRegisterCallbacks实现进程防杀

遗失记忆 · 发表于 2013-4-4 09:10:56

之前做了xp下的进程防杀，现在这个用于WIN7，采用的是回调的方式。
没什么技术含量，会的人赶紧飞开。
源码和bin我都上传了。
欢迎kman来继续杀进程。

有兴趣的可以帮我测试下，步骤如下：
1、  由于我的驱动未签名，所以需要在虚拟机里运行，并且要修改下内核，否则ObRegisterCallbacks会返回错误0xC0000022。
//  bp nt!ObRegisterCallbacks+0xf5 ".if(1){ r @eax=1; gc; }.else{gc;}"
//  bp nt!ObRegisterCallbacks+0x109 ".if(1){ r @eax=1; gc; }.else{gc;}"
//
//  或者
//
//  ew ObRegisterCallbacks+0xf7 0x9090
//  ew ObRegisterCallbacks+0x10b 0x9090

或者

注册回调前加段代码，改一个比特位就解决了 // mccoysc提供的方法

代码:
PLDR_DATA_TABLE_ENTRY pLdrEntry=(PLDR_DATA_TABLE_ENTRY)pDrvObj->DriverSection;
pLdrEntry->Flags |=0x20;

2、  进入虚拟机后，把bin里的文件拷贝到c盘根目录下。
3、  运行InstDrv.exe，把驱动new_MoniProcess32.sys加载起来，再运行AntiCrack.exe。然后就可以试着强杀AntiCrack.exe了。之前kman的oooshit.exe和oooshit2.exe也杀不了的，呵呵。

注：任务管理器的结束任务可以杀掉AntiCrack.exe，至于为什么，我还要研究下。

游客，如果您要查看本帖隐藏内容请回复

kgddnadn · 发表于 2013-4-9 11:22:14

DDDDDDDDDDDDDDDDDDDDD

ghw8687091 · 发表于 2015-1-13 19:50:23

学习学习

14181663 · 发表于 2015-4-4 12:35:11

支持了。谢谢啊！

msn882 · 发表于 2016-8-3 18:57:57

谢谢分享！。。。。。。。。。。。。。。

744741442 · 发表于 2016-11-19 13:06:48

不错.

		自动登录	找回密码
密码			注册账号