首页 新闻 论坛 群组 Blog 文档 下载 读书 Tag 网摘 搜索 .NET Java 游戏 视频 人才 外包 培训 数据库 书店 程序员
中国软件网
欢迎您:游客 | 登录 注册 帮助
    • 放了,留着也只能烂在心中,10来行代码实现进程防杀,taskmgr,IceSword,WSyscheck等无效. [已结贴,结贴人:KeSummer]
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    • 揭帖率:
    发表于:2008-05-18 12:32:22 楼主
    以前写的一个小程序.在ring3下实现进程的防杀,就10来行代码,其中核心代码只有几行.免驱动的,taskmgr,IceSword(强制结束除外),WSyscheck等无效.当然使用一些龌龊的方法可以结束掉.例如APC等.
    程序界面:

    终极保护:这个是一般的功能,就是保护自己不被结束.
    究级保护:当结束掉进程就会蓝屏,其实是内核产生一个int 3中断.非常yd的手法.大家在测试此功能之前,请保存手头上的工作.
    恢复:...
    禁止执行:就是禁止某程序的执行,切勿选择系统进程或者和系统进程同名的.否则你会后悔不已.
    恢复运行:解除上面的限制.

    代码下载:http://download.csdn.net/source/458567 如果被删除了,请访问我的所有资源....NND,我上传的时候出错了N次..之后发现居然上传了N个.
    原理性的文章:请看我的blog,http://blog.csdn.net/KeSummer/archive/2008/05/18/2455379.aspx

    csdn可不是一般的烂...资源我上传了8次,文章我发表了5次才成功.
    20  修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • arong1234
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 12:33:461楼 得分:0
    比较痛恨这种流氓软件
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 12:34:272楼 得分:0
    此楼祭天!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • arong1234
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 12:34:593楼 得分:0
    出品流氓软件的太缺德了,以后断子绝孙。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 12:36:554楼 得分:0
    ...什么流氓程序?请说明白一点!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • kingstarer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 12:39:205楼 得分:1
    下载了 谢谢
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 12:39:376楼 得分:0
    引用 3 楼 arong1234 的回复:
    出品流氓软件的太缺德了,以后断子绝孙。


    按照你的意思,nprotect,瑞星,卡吧等他们都有防杀保护,他们都是流氓?不懂别乱说,菜刀放在那,责任就不在卖菜刀的.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 12:49:087楼 得分:0
    引用 1 楼 arong1234 的回复:
    比较痛恨这种流氓软件


    我可是火大了,出于对技术的追求,在csdn上共享自己的一点点想法,在发贴失败5次的情况下还是发上来了,你认为带进程保护的就是流氓软件?现在那个杀毒软件,防火墙不带进程保护?那个机房管理系统不带进程保护?知道游戏防火墙nprotect吗?它保护了多少帐号的安全,它也要保护自己.我最痛恨你这种什么都不懂,而又眼红别人的人!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • aca_jingru
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:00:528楼 得分:1
    你确定吗..我怎么一关就关掉了,sp3
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:03:419楼 得分:0
    引用 8 楼 aca_jingru 的回复:
    你确定吗..我怎么一关就关掉了,sp3


    sp3自己修改代码~
    忘了说明一点:程序运行在xp sp2,管理员权限下.要适应2003,xp sp1请手工修改偏移.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • arong1234
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:09:1910楼 得分:0
    哪种恶行不是从你这种所谓的技术研究开始的?知道为什么有核不扩散原则么?知道刀具管制么?生产刀具也许无罪,但是卖给10岁的小孩就不一定是合适的。这种技术自己研究好了,广泛的共享只能让有恶意的人有更多机会使用他
    引用 7 楼 KeSummer 的回复:
    引用 1 楼 arong1234 的回复:
    比较痛恨这种流氓软件


    我可是火大了,出于对技术的追求,在csdn上共享自己的一点点想法,在发贴失败5次的情况下还是发上来了,你认为带进程保护的就是流氓软件?现在那个杀毒软件,防火墙不带进程保护?那个机房管理系统不带进程保护?知道游戏防火墙nprotect吗?它保护了多少帐号的安全,它也要保护自己.我最痛恨你这种什么都不懂,而又眼红别人的人!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • arong1234
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:10:5711楼 得分:0
    当然你这点技术还够不上流氓软件的格,TaskMgr能杀的,TerminateProcess就杀不了?不要以为别人反对你就是眼红你,技术不是万能的,不一定会有人因为你技术好就眼红你
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:20:0412楼 得分:0
    引用 10 楼 arong1234 的回复:
    哪种恶行不是从你这种所谓的技术研究开始的?知道为什么有核不扩散原则么?知道刀具管制么?生产刀具也许无罪,但是卖给10岁的小孩就不一定是合适的。这种技术自己研究好了,广泛的共享只能让有恶意的人有更多机会使用他
    引用 7 楼 KeSummer 的回复:
    引用 1 楼 arong1234 的回复:
    比较痛恨这种流氓软件 
     

    我可是火大了,出于对技术的追求,在csdn上共享自己的一点点想法,在发贴失败5次的情况下还是发上来了,你认为…


    按照你说的,大家不去研究什么bug就天下太平咯?大家也别开放什么源码了,这样安全好多了!你要骂去rookit.com,xfoucs.net上骂啊!

    什么是流氓软件?你自己认为带个进程保护就是流氓软件,你的思想真幼稚!

    看看定义吧:
    “流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来实质危害。

    TaskMgr能杀的,TerminateProcess~~
    --------
    真好笑~~估计你连我的程序也不会用吧..你会去看看xp 内部的TerminateProcess实现再回来说!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:21:3413楼 得分:0
    引用 11 楼 arong1234 的回复:
    当然你这点技术还够不上流氓软件的格,TaskMgr能杀的,TerminateProcess就杀不了?不要以为别人反对你就是眼红你,技术不是万能的,不一定会有人因为你技术好就眼红你


    恶意软件(流氓软件)定义:是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。 它具有如下特点:

    强制安装:指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装软件的行为。

    难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍活动程序的行为。

    浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。

    广告弹出:指未明确提示用户或未经用户许可的情况下,利用安装在用户计算机或其他终端上的软件弹出广告的行为。

    恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。

    恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载非恶意软件的行为。

    恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。

    其他侵犯用户知情权、选择权的恶意行为。
    --------------------------------------------

    流氓软件我会去写.没有技术..
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • jameshooo
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:

    • 2

      4
    发表于:2008-05-18 13:28:3314楼 得分:1
    两位别吵架了,纯粹的技术研究没什么关系,这世界上有专业的安全公司专门研制善意病毒供杀毒软件厂商研究,记得以前有个什么病毒(忘了名字),一点破坏性都没有,也并不出名(原因还是没有破坏力,仅供技术验证),但是一直被Symantec奉为病毒技术经典。

    技术都是相通的,既能被用于行善,也能被用于作恶,完全取决于开发者的脑激素分泌状态。

    支持楼主的奉献精神,也支持阿荣的忧患意识。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • gaohl
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:30:1115楼 得分:1
    想起刘德华在《门徒》里面的一句话:我贩毒因为有市场需要,和我有什么关系,故都怪那些吸毒的人自己要吸,我没有让他们去吸毒。
    大概意思是这样。

    楼主把这些容易引起流氓软件普及化,泛滥的技术散播,难道自己能脱干系吗?
    我到希望你的这些所谓精品代码,烂在你的肚子里,长蛆发霉,也把你的心一起烂掉。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:40:3316楼 得分:0
    这个方法很多年前就有了.如果你们去过驱动开发网,第8个男人,rootkit就会发现这种方法.但这种方法因为平台性太强的关系,而没有被广泛使用.说实在的,csdn也找不到那种高手如云的感觉.我对技术,根本不会管那么多.我还玩激光,高压电,我所玩的激光都超出了"安全"的范围.我完全可以拿着我手头上的激光器去杀人了.技术也一样,如果我只为钱,恐怕我现在光用我所知的技术去做流氓软件我都一年几十万了.可惜我没有这样做。
    技术上的突破,不超越底线,一起分享是我的原则.

    下面是我玩的激光,谁想不开,可以过来让我照照..呵呵...

    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • arong1234
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:41:2817楼 得分:0
    不要总把我放到“眼红你技术”得角度看问题。即使你这种特别得技术比我好又如何?能说明你能力比我好?假如我得软件真需要这种保护,找个软件安全软件公司随便设计一下肯定比你好吧?
    无论如何,防杀肯定是恶意软件的第一步,我绝对不赞成这种技术广泛的传播。为什么武汉男生能随意作恶?还是这些技术太容易找到了。

    引用 12 楼 KeSummer 的回复:
    引用 10 楼 arong1234 的回复:
    哪种恶行不是从你这种所谓的技术研究开始的?知道为什么有核不扩散原则么?知道刀具管制么?生产刀具也许无罪,但是卖给10岁的小孩就不一定是合适的。这种技术自己研究好了,广泛的共享只能让有恶意的人有更多机会使用他 
    引用 7 楼 KeSummer 的回复:
    引用 1 楼 arong1234 的回复: 
    比较痛恨这种流氓软件 
     

    我可是火大了,出于对技术的追求,在csdn上共享自己的一点点想法,在发贴…
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • arong1234
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:43:2218楼 得分:0
    CSDN么,无非就是很多“初手”能找到帮助么,如果这边高手如云,我也不会只回答不提问了

    引用 16 楼 KeSummer 的回复:
    这个方法很多年前就有了.如果你们去过驱动开发网,第8个男人,rootkit就会发现这种方法.但这种方法因为平台性太强的关系,而没有被广泛使用.说实在的,csdn也找不到那种高手如云的感觉.我对技术,根本不会管那么多.我还玩激光,高压电,我所玩的激光都超出了"安全"的范围.我完全可以拿着我手头上的激光器去杀人了.技术也一样,如果我只为钱,恐怕我现在光用我所知的技术去做流氓软件我都一年几十万了.可惜我没有这样做…
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:48:1919楼 得分:0
    武汉男生没用什么高深的技术,他也没什么防杀的机制.其实最最厉害的病毒,木马,流氓软件是利用人性的弱点.把流氓软件改名成免费色情片,或者免费获得QB..中的人绝对更多!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:50:4020楼 得分:0
    进程防杀的技术我知道很多种,我只是把一种不常见告诉大家而已.不知道内幕你知道多少,所谓的安全软件公司也只是到外面找人做的而已.不信的话就去驱动网,安焦上面多看看.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • arong1234
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:51:0121楼 得分:0
    总之这点东西还是自己烂在肚子里吧,放出来少一点,会得人就少一点,出现害人得东西也少一点

    引用 19 楼 KeSummer 的回复:
    武汉男生没用什么高深的技术,他也没什么防杀的机制.其实最最厉害的病毒,木马,流氓软件是利用人性的弱点.把流氓软件改名成免费色情片,或者免费获得QB..中的人绝对更多!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 13:55:3822楼 得分:0
    我可不是你那样认为,假设一种病毒吧.非常具有危害性,例如今年的ev71病毒,越被人们知道越早越好,这样更容易防范,就因为XX隐瞒..导致XXX..如果人们不知道ev71,而坏人利用ev71,那不是更惨吗?

    从函数hook,到dkom,再到object hook..进程保护技术不下10来种.目前安全软件使用hook居多,病毒木马使用dkom居多.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • arong1234
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 14:09:4623楼 得分:0
    那只是你善良得想法。现实是:用户很多都不成熟,而恶意软件得作者由于有利益驱动,动力十足。恐怕公开得技术只会让恶意软件编写者受益
    引用 22 楼 KeSummer 的回复:
    我可不是你那样认为,假设一种病毒吧.非常具有危害性,例如今年的ev71病毒,越被人们知道越早越好,这样更容易防范,就因为XX隐瞒..导致XXX..如果人们不知道ev71,而坏人利用ev71,那不是更惨吗?

    从函数hook,到dkom,再到object hook..进程保护技术不下10来种.目前安全软件使用hook居多,病毒木马使用dkom居多.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 14:36:0424楼 得分:0
    引用 23 楼 arong1234 的回复:
    那只是你善良得想法。现实是:用户很多都不成熟,而恶意软件得作者由于有利益驱动,动力十足。恐怕公开得技术只会让恶意软件编写者受益
    引用 22 楼 KeSummer 的回复:
    我可不是你那样认为,假设一种病毒吧.非常具有危害性,例如今年的ev71病毒,越被人们知道越早越好,这样更容易防范,就因为XX隐瞒..导致XXX..如果人们不知道ev71,而坏人利用ev71,那不是更惨吗? 

    从函数hook,到dkom,再到object hook..进程保护…



    我最后想说的是,
    从你的对话我感觉到..你对内核安全知道得太少了,所谓的用户是指杀毒软件公司,或者真正需要保护程序的开发人员,你用过ATM吗?就是取钱的那个,那个系统用的就是XP(绝大部分是)..有些带键盘业务机都需要这些功能去防止无聊人员的破坏..美萍,万象,一些公共机器,例如小区的计费系统(并不是每个业主都是那么自觉的),还有企业保密装的防水墙都需要..你视野太狭窄了,在你眼里只看到了病毒,流氓软件编写者,我为不少的这方面的客户写过外包的.不知道你看过一不书叫windows内核防护,那本书就是教人写rootkit的.书里面的知识非常老..我早都不用了,呵呵.我不会在这贴回复你了.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • lights_joy
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 15:16:1225楼 得分:1
    支持LZ
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • greatws
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 15:18:0726楼 得分:1
    有点不懂,为什么这里要内联汇编
    C/C++ code
    
    GetProcAddress(LoadLibrary("kernel32.dll"),"OpenThread");

    __asm
    {
        push dwTID
        push 0
        push THREAD_ALL_ACCESS
        call eax
        mov hThread,eax
    }


    而不是直接hThread=OpenThread(THREAD_ALL_ACCESS,0,dwTID);?
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • KeSummer
    • 等级:
    • 可用分等级:
    • 总技术专家分:
    • 总技术专家分排名:
    发表于:2008-05-18 15:22:4627楼 得分:0
    引用 26 楼 greatws 的回复:
    有点不懂,为什么这里要内联汇编

    C/C++ code
        GetProcAddress(LoadLibrary("kernel32.dll"),"OpenThread");

        __asm
        {
            push dwTID
            push 0
            push THREAD_ALL_ACCESS
            call eax
            mov hThread,eax
        }


    而不是直接hThread=OpenThread(THREAD_ALL_ACCESS,0,dwTID);?


    这个问题我不是注释了么?
    在vc6里面OpenThread
    error C2065: 'OpenThread' : undeclared identifier
    当然通过定义版本应该是可行的.
    如果定义函数指针,比较麻烦,用汇编快啊..
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天