再谈PspTerminateProcess及其简单实现

黑防第8期发表了一篇关于PspTerminateProcess定位和应用的文章第9期发表的《Ring0突破360自我保护》一文中又一次提到了这个函数。大家如果读过以往的黑防文章和Pjf的《进程终止内幕》就会知道．其实PspTerminateProcess和NtTerminateProcess杀进程并不底层，而进程终止的真正原因是系统枚举进程的每一个线程．使用PspTerminateThreadByPointer来结束它们，当最后一个线程结束掉之时．进程就结束了。有的读者肯定也知道PspTerminateThreadByPOinter并不是杀死进程的“元凶”，线程的结束是插入APC最后“自杀”。

在WM手机中实现来电防火墙

相信大家都会遇到这种情况．比如被某个莫名其妙的电话骚扰．最重要的是反复骚扰，于是来电防火墙应运而生。”来电防火墙”功能．简单的说就是使不想接听的电话打不进来（黑名单功能）．同时也可以指定接听个别电话（白名单功能）。许多手机安全厂商在自己的手机杀毒产品中都添加了这个功能．从而保护用户免受恶意电话的骚扰。

从窗口下手突破杀软驱动拦截

最近下载了卡巴斯基2010，发现其主防较以前版本又有了大幅度的提高．最明显的变化是增加了许多Shadow SSDT的钩子．对窗口的一些操作进行了拦截，感觉要突破又成了个大麻烦。

另类Hook实现注册表监控

在病毒日益泛滥的今天，注册表监控是各大杀毒软件的必备法宝，杀软利用SSDT Hook，监控着程序对注册表操作的方方面面从删除到新建，甚至是枚举（有的病毒以此实现隐藏）。

底层函数的进程守护

或许有不少的读者使用江民杀毒软件，江民自从O8以来的确有了很大的进步，特别是其“金钟罩”般的进程守护，使不少木马病毒都放弃了直接攻击其进程。有关江民的进程守护原理，网上有不少资料分析过，黑防以前的杂志也有所提及，大家可以找来看下。其实通过黑防已发表的文章提供的代码模块、WRK以及一些必要的系统知识，我们基本上可以做出个山寨版的江民金钟罩。

更好的保护进程句柄

相信对于长期阅读《黑客防线》的读者来说．进程保护这个话题已经不陌生了，实现的方法也是多种多样。Hook的方法有挂钩内核底层函数．如SSDT相关函数．Ob系列相关函数，

BT上传流量的修改

学校的BT最近清空了数据，于是以前的“T级”上传量就一起消失了。很多在学校中使用BT的人都知道，上传决定共享率，如果一般不做种子的人或者下载后就关了BT（为了节省资源和带宽）的人，上传量是肯定高不起来的，而偏偏我现在就是这种人。当然，我所进行的努力就集中放在如何修改啦。

内核模式结束冰刃进程

最近看黑防编程解析栏目，发现许多与进程相关的好文章，其中有篇文章是在”用户模式下突破ICESword进程保护”，里面提到了冰刃结束进程的机制是利用系统未导出函数PspTerminateProcess实现的。于是到网上查找如何定位该函数的方法，方法未找到，却想到了冰刃的另一个功能——高级扫描（此功能在冰刃1．22版本才有）。

感染PE文件实现图标替换及其逆应用

大家第一次看到本文标题，想到的很可能就是“熊猫烧香”。不过开始之前我先作个说明．一是熊猫烧香使用的是Delphi．我使用的是VC＋＋6．0编写二是虽然网上有段熊猫的代码，但我绝没有抄袭，而且个人认为．就图标替换部分，很可能不完整（在文中会阐明）：