[zz]磁碟机变种pagefile.pif对付安全软件的“倒胃口”方法
全部内容在http://bbs.janmeng.com/thread-689183-1-1.html
这里摘录关键部分,说白了也没啥:
调用PostMessageA,向窗口持续发送消息,消息Msg从0到499!
UPX0:00402E26
UPX0:00402E26 loc_402E26: ; CODE XREF: sub_4029C7+F9 j
UPX0:00402E26 ; sub_4029C7+10F j
UPX0:00402E26 ; sub_4029C7+135 j
UPX0:00402E26 ; sub_4029C7+158 j
UPX0:00402E26 ; sub_4029C7+16E j
UPX0:00402E26 ; sub_4029C7+184 j …
UPX0:00402E26 mov esi, PostMessageA
UPX0:00402E2C xor ebx, ebx
UPX0:00402E2C
UPX0:00402E2E
UPX0:00402E2E loc_402E2E: ; CODE XREF: sub_4029C7+476 j
UPX0:00402E2E push edi ; lParam
UPX0:00402E2F push edi ; wParam
UPX0:00402E30 push ebx ; Msg
UPX0:00402E31 push dword ptr [ebp+8] ; hWnd
UPX0:00402E34 call esi ; PostMessageA
UPX0:00402E36 inc ebx
UPX0:00402E37 cmp ebx, 1F4h ; 500
UPX0:00402E3D jl short loc_402E2E
UPX0:00402E3D
显然这些发送的消息,其实是“垃圾消息”
其目的,就是要挤占目标窗口的消息队列,使目标窗口的窗口过程忙于处理这些“垃圾消息”,而用户操作时发送的有意义的操作消息,则根本来不及处理!
结果,SREng、IceSword等工具,在打开之后,用户将根本没有办法操作,因为用户操作发送给程序的消息,已经被垃圾消息挤到消息队列后面去了,得不到程序的优先响应。
这是典型的利用Windows消息驱动机制,对目标程序进行攻击使其失去响应能力的方法,有点类似于DDOS,无技术含量,但有效。
PS: 这年头猥亵方法真多,呵呵,象我这样善良的人不多了。
没有评论 ▼