微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 进程保护挑战 - 无HOOK无KDOM,微软标准函数  

作者:
标题: 进程保护挑战 - 无HOOK无KDOM,微软标准函数
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  进程保护挑战 - 无HOOK无KDOM,微软标准函数

MJ0011 看到有人诟病360的自我保护,又见江民、微点等一堆国内挫人使用一大堆HOOK对自己的进程做保护
导致系统不稳定还保护不住

于是放点东西出来给大家玩玩,欢迎挑战


测试程序没有使用任何HOOK技术,没有使用任何DKOM技术,完全使用微软标准函数、标准接口,却让无数号称强大的ARK、结束进程工具望之兴叹!

以下是无法结束本测试程序的程序列表,欢迎各位测试自己的工具,逐步更新此表

Icesword 1.22 ---  failed
RKU 3.7 ---  failed
gmer 1.14 ---  failed
SnipeSword 20080225 --- failed
Wsyscheck 20080223  --- failed
墨者安全专家进程管理3.05 --- failed
DarkSpy 1.0.5 --- failed
SysProt 1.0.0.5 --- failed


挑战规则:让进程退出

禁止:
不允许攻击窗口

不允许恢复驱动使用标准函数建立的接口等

不允许破坏驱动内部数据或代码流程(例如保护PID值)
不允许类似上面的技巧

测试程序见压缩包:

测试方法:使用Driver Monitor或DrvLoad等工具加载ppxx.sys
运行ppxx.exe

尝试将其结束

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-4-4 15:56
查看资料  发送邮件  访问主页  发短消息   编辑帖子
dsl5
高级用户




积分 578
发帖 520
注册 2007-6-16
来自 广州
#2  

这玩意根本就是纸老虎

※ ※ ※ 本文纯属【dsl5】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

该点饭点了叉烧饭
2008-4-4 17:59
查看资料  发送邮件  发短消息   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#3  

MJ0011纯粹是个崇洋媚外的家伙,想要加强国内的技术就要认真与厂商交流一起进步,微点很乐意接受意见,而不是这种泼妇骂街的方式,满口脏话

[ Last edited by qq200878 on 2008-4-4 at 18:36 ]

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-4 18:35
查看资料  发送邮件  发短消息   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#4  

而且自我保护再强,无法拦截病毒也没用

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-4 18:36
查看资料  发送邮件  发短消息   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#5  

做一个杀软和做一个小程序不同,要考虑很多因素,MJ0011根本没考虑一个安全软件的整体性,单纯在一个文件上较真,他如果真牛就自己开发一个杀软

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-4 18:39
查看资料  发送邮件  发短消息   编辑帖子
544948485
注册用户




积分 75
发帖 75
注册 2007-10-1
#6  

MJ0011算什么? 做的360杀木马都靠文件名,跟个垃圾似的

※ ※ ※ 本文纯属【544948485】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-5 11:04
查看资料  发送邮件  发短消息  QQ   编辑帖子
leehaoleo
注册用户




积分 127
发帖 127
注册 2007-7-10
#7  

360是他做的么?



感觉上360还不如瑞星卡卡

※ ※ ※ 本文纯属【leehaoleo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

http://bbs.micropoint.com.cn/attachments/month_0701/zqK14w==_mj23p91ILl3Q.jpg
2008-4-5 13:08
查看资料  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#8  

[胡扯]看来干掉MJ的PPXX.exe还不是很容易
http://hi.baidu.com/sudami/blog/ ... a04ef952664fd1.html

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-4-5 14:42
查看资料  发送邮件  访问主页  发短消息   编辑帖子
dsl5
高级用户




积分 578
发帖 520
注册 2007-6-16
来自 广州
#9  

表面上干不掉又怎样?内存都被清了,已经完全丧失工作能力!最后挂条尸在那忽悠人说你没挂掉我!这玩意应用到产品上,那简直就是忽悠用户,这样没结束比被结束更危险!

[ Last edited by dsl5 on 2008-4-5 at 16:44 ]

※ ※ ※ 本文纯属【dsl5】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

该点饭点了叉烧饭
2008-4-5 16:40
查看资料  发送邮件  发短消息   编辑帖子
qq517826104
新手上路





积分 5
发帖 5
注册 2008-4-5
#10  

楼上的都非常经典。
MJ找骂。

※ ※ ※ 本文纯属【qq517826104】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-22 16:55
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号