在卡饭发的一个保护程序，大家挑战一下

MJ0011 · 发表于 2010-4-25 23:03

在卡饭发的一个保护程序，大家挑战一下http://bbs.kafan.cn/viewthread.php?tid=689512&extra=&page=1

卡饭没什么高手，大家有兴趣的可以挑战一下，看谁能结束被保护进程

程序见附件，说明和注意见帖子

淡淡香草味 · 发表于 2010-4-25 23:21

[s:353]只看楼主不看贴

Hmily · 发表于 2010-4-25 23:36

感谢mj发帖,我把卡饭的帖子内容贴下,欢迎大家尝试.

最严格最强大的防护软件AresProtectionSystem1.0测试版
AresProtectionSystem(简称APS)是一个系统防护软件，目前先放出一个测试版给liangfangCN 做攻击测试，可能存在一定问题，欢迎测试发现。

APS会在运行后将系统所有新运行的程序隔离到一个独立的空间中，程序不能对现有系统做任何破坏、攻击。

APS采用的部分技术类似沙盘，但是APS同时具有沙盘和HIPS两种防护体系，而且由于APS采用的防御设计思路和常规的安全防御软件相反，因此比普通的沙盘、HIPS严格得多，同时还可以在很大程度上防御Windows内核0DAY漏洞的攻击（尤其是第三方驱动程序、除Windows内核(win32k/hal/ntos)外的Windows组件的漏洞），可以说是目前世界上最严格、最强大的防护系统，强度之高，可说超越目前任何的安全防御软件，而且极难被突破。

防护技术细节：

(1).RD/FD 全只读封锁，受限制的程序对文件系统、注册表只能读，不能写，目前受限制程序只能访问C盘和系统目录，不能访问其他任何目录

(2).UI隔离，使用UI隔离、防护，将受限制程序完全放入一个独立的UI空间中，不能对外做窗口攻击、信息窃取等，可以有效防止盗号程序、键盘记录器

(3).内核防御开启APS保护后，一切内核攻击都将被拦截，除非突破(4)中的内核漏洞防御，攻击者不可能进入R0，即使攻击者使用非常特殊的方式加载内核驱动，APS也会使之无效

(4).内核漏洞防御 APS过滤了大量可能引发内核漏洞的函数，尽管APS不可能做到100%防御内核漏洞，但可以尽可能阻止绝大部分内核漏洞，目前版本的APS基本可以杜绝第三方驱动程序、非Windows内核（win32/hal/ntos)的Windows内核组件的漏洞

(5).进程保护受限制的进程不可能以任何形式同任何不受限进程进行通讯，完全做到了进程间隔离，目前版本的APS中，进程除了可以通过ApiPort和csrss.exe做极有限的无害交互外，不能和不受限进程或系统进程做任何交互

(6).网络防护目前APS开启后，受限制程序不能连接网络，也不能做任何和网络有关的操作

(7).关机保护，目前APS开启后，受限制程序将不能对系统做关闭、注销、重启等操作

当然，由于APS目前没有用户交互且防护极其严格，很多编写不规范的程序会出现功能上的问题，甚至完全无法运行，为了防止损坏你的数据，建议在虚拟机上运行本程序，出现问题时直接对虚拟机进行重启。现在的APS为了做攻击测试，因此对所有新创建进程都会被直接列入限制进程中，在以后的版本会加入排除。

安装指引：

Ares Protection System v1.0.0.1001 目前仅支持Windows XP
1.确保系统干净，不存在任何第三方非硬件内核驱动，例如虚拟光驱驱动、安全软件驱动、加密文件驱动等等，否则运行本系统可能蓝屏或者工作不正常。
可使用Rootkit Unhooker等工具检查，看有无SSDT HOOK/ShadowSSDT HOOK/KiFastCallEntry HOOK，如果没有就可以正常运行

攻击测试前，请保证系统已经安装了当前操作系统的全部补丁。

2.等待操作系统启动进入稳定状态（一分钟左右），运行AresProtections.exe,该程序接着会运行LowComp.exe,等着两个EXE正常运行并提示安装完成，如果有错误请联系我，最后程序会运行calc.exe,这个是攻击测试的标靶。

3.测试保护系统是否正常开启：运行任务管理器，看是否能结束任意一个进程，看“应用程序“栏是否能显示此前启动的任意进程，如果可以结束或显示，说明保护系统未正常开启，请联系我

4.攻击测试要求, 这个是给liangfangCN 的测试条件，非liangfangCN 可以无视。
(1).不能通过硬件方式从外部对待测试环境进行任何干扰，例如关机、插入新的设备，等等，可以用鼠标键盘操作复制测试程序到本地、运行本地测试程序和对其界面做相关操作，其他操作则不允许（例如利用鼠标控制已运行起来的不受限进程Explorer.exe来操作文件，模拟鼠标键盘不在此限制内）

(2).可以使用Windows内核漏洞对本保护系统进行攻击，但内核漏洞必须是Windows操作系统的，且是完全自行发现的，要满足如下要求
a.使用的内核0DAY不能是已经被公开修补或公开公布、半公开公布或者可以以简单方式（例如网络）获取的
b.不可使用本系统自身驱动的内核漏洞

(3).攻击目的要求是达到结束目标进程calc.exe, 关机或注销方式使进程退出也算成功，但不能以蓝屏方式结束进程。进程结束的达成条件为使用常规工具（例如任务管理器）不受干扰地检查进程列表，不存在原先的calc.exe进程

5.测试环境要求XP SP2/SP3，系统盘为NTFS分区，安系统正常服务、启动项安装，无其他第三方软件

6.先放出来1.0测试版，有任何程序问题也可以联系我，不过由于目前的系统限制非常严格，可能很多复杂软件不能正常运行。
联系方式:th_decoder@126.com 或通过卡饭论坛PM

Yewn · 发表于 2010-4-26 00:21

晕饭卡也破解

kanglehao · 发表于 2010-4-26 01:03

又一个精品。谢谢楼主，太谢谢了，支持

hackxc · 发表于 2010-5-3 13:52

晕死卡饭啊我看成饭卡了

liusheng · 发表于 2010-5-7 04:41

[s:45]看看就好

qqai886 · 发表于 2010-5-7 05:44

美国航天局用的么这么牛?

lidayue · 发表于 2010-5-8 00:00

感谢分享~~
下载下来看看小研究下呵呵

ithurricane · 发表于 2010-5-8 09:02

来膜拜mj大牛了

帐号		自动登录	找回密码
密码			注册[Register]

[CrackMe] 在卡饭发的一个保护程序，大家挑战一下

本帖子中包含更多资源

个人中心