Raham
پنج شنبه 11 آذر 1389, 17:06 عصر
با سلام خدمت دوستان عزیز
یه سورس واستون گذاشتم که کار خودمه:چشمک:
البته بیشتر جنبه آموزشی داره تا جنبه فقهی:لبخند:
این لایه امنیتی جلوی تعداد زیادی از Ring3 Dumper هارو میگیره(PeTools,ImpRec,LordPe,...)
البته اگر دیباگر شما (olly debug -KerNelMode Disabled) باشه جلوی دسترسی اون رو هم میگیره
تکنیک مورد استفاده:
UserMode Hook of OpenProcess AP
نوع کد تزریقی: ASM
توجه:چون کد هامو با ASM نوشتم سازگاری فوق العاده بالاست و احتمال اینکه در هنگام اجرا بودن این لایه امنیتی نرم افزار های دیگه با مشکل روبرو شوند خیلی کم هستش
نحوه استفاده از فایل EXE این سورس:
ProcessID رو بصورت CommandLine بهش بدین. مثال
C:\RahamAE.exe 2230
به این صورت از پروسس به شماره 2230 محافظت میکنه.
نحوه به کار بردن در شرایط واقعی:
1.استفاده از الگوریتمی که نوشتم در برنامه های خودتون
2.کامپایل کردن این سورس بصورت DLL و استفاده بصورت Link Library یا CreateRemoteThread
FeedBack یادتون نره
موفق و سربلند باشید
یا حق
یه سورس واستون گذاشتم که کار خودمه:چشمک:
البته بیشتر جنبه آموزشی داره تا جنبه فقهی:لبخند:
این لایه امنیتی جلوی تعداد زیادی از Ring3 Dumper هارو میگیره(PeTools,ImpRec,LordPe,...)
البته اگر دیباگر شما (olly debug -KerNelMode Disabled) باشه جلوی دسترسی اون رو هم میگیره
تکنیک مورد استفاده:
UserMode Hook of OpenProcess AP
نوع کد تزریقی: ASM
توجه:چون کد هامو با ASM نوشتم سازگاری فوق العاده بالاست و احتمال اینکه در هنگام اجرا بودن این لایه امنیتی نرم افزار های دیگه با مشکل روبرو شوند خیلی کم هستش
نحوه استفاده از فایل EXE این سورس:
ProcessID رو بصورت CommandLine بهش بدین. مثال
C:\RahamAE.exe 2230
به این صورت از پروسس به شماره 2230 محافظت میکنه.
نحوه به کار بردن در شرایط واقعی:
1.استفاده از الگوریتمی که نوشتم در برنامه های خودتون
2.کامپایل کردن این سورس بصورت DLL و استفاده بصورت Link Library یا CreateRemoteThread
FeedBack یادتون نره
موفق و سربلند باشید
یا حق