首页
论坛
课程
招聘
anti trick Ⅰ -- OpenProcess
2005-9-13 21:10 6186

anti trick Ⅰ -- OpenProcess

2005-9-13 21:10
6186
Site:www.ptteam.com
by 来自轻院的狼[Immlep]

最近想写一些关于Anti的文章,可是没有什么时间,下面的文章写的比较粗糙,如果有什么问题,希望大家指导指导,谢谢!!!

可能由于DebugAPI的缘故,当一个程序被Ring3调试器调试(Ollydbg等)时,它的权限会提升,本来它是不可以使用OpenProcess打开一些系统进程的,不过如果它被调试的话,它就可以OpenProcess打系统进程,因此我们可以借助这一点来反Ollydbg等,我测试当程序被调试后由本来不可以打开变成可以打开的进程有:

csrss.exe
smss.exe
lsass.exe
svchost.exe
winlogon.exe

其中获取csrss的PID也可以用CsrGetProcessId这个函数,我用ASM写了一段例子代码 :

searchproc proc 
    LOCAL hSnapshot
    LOCAL hProcess
        invoke        CreateToolhelp32Snapshot, 2, 0
        mov        hSnapshot, eax
        mov        uProcess.dwSize, sizeof uProcess
        invoke        Process32First, hSnapshot, ADDR uProcess
        mov        hProcess, eax
        push esi
        xor esi,esi
        .while hProcess!=0
            ;--------------
            call @F
            szcsr db 'csrss.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szcsr,addr szOK,MB_OK
            @@:
            ;-----------------
            call @F
            szsmss db 'smss.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szsmss,addr szOK,MB_OK
            @@:
            ;---------------------
            call @F
            szlsa db 'lsass.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szlsa,addr szOK,MB_OK
            @@:            
            ;---------------
            call @F
            szsvc db 'svchost.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szsvc,addr szOK,MB_OK
            @@:            
            ;---------------
            ;---------------
            call @F
            szwlg db 'winlogon.exe',0
            @@:
            lea edi,uProcess.szExeFile
            push edi
            call lstrcmp
            jnz @F
            invoke        OpenProcess, PROCESS_ALL_ACCESS, 1,uProcess.th32ProcessID
            cmp eax,0
            jz @F
            invoke MessageBox,NULL,addr szwlg,addr szOK,MB_OK
            @@:            
            ;---------------
            ;invoke TerminateProcess,eax,0 
                skip:
                invoke        Process32Next, hSnapshot, ADDR uProcess
                mov        hProcess, eax
        .endw
        pop esi
    invoke        CloseHandle, hSnapshot
        ret


有时用Olldybg第一次调试会没事,再次用ollydbg调试时就会中招!!

一个测试的debugme,是以前写的,用了CsrGetProcessId,只能在XP下运行,不过上面的代码是可以在2k以上的系统使用的。。

http://bbs.pediy.com/upload/2005/37/files/debugme.rar

2022 KCTF春季赛【最佳人气奖】火热评选中!快来投票吧~

收藏
点赞0
打赏
分享
最新回复 (8)
雪    币: 19
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
pendan2001 活跃值 4 2005-9-13 23:19
2
0
先做沙发啊
雪    币: 100
活跃值: 活跃值 (15)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
夜凉如水 活跃值 3 2005-9-14 09:41
3
0
hoho 支持你的说!!!!!!!!!
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wekabc 活跃值 2005-9-14 11:33
4
0
强!!!!!!!!!!!!!!!!
雪    币: 217
活跃值: 活跃值 (36)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
softworm 活跃值 30 2005-9-14 12:21
5
0
期待更多教程
雪    币: 114
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
lnn1123 活跃值 13 2005-9-14 14:36
6
0
学习,强烈支持的说
雪    币: 214
活跃值: 活跃值 (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
auser 活跃值 2005-9-14 15:18
7
0
这个强!
只有hook OpenProcess来反anti trick了。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mElOdy 活跃值 2005-9-14 15:26
8
0
by 来自轻院的狼[Immlep]

哪个轻院哦?
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
寒江雪 活跃值 2005-9-14 23:49
9
0
好啊! 再多来些
游客
登录 | 注册 方可回帖
返回