Salfeld KisiKiller 2009

  • Hey,

    hier mal ein kleines nützliches Tool von mir, fals man von seinen Eltern mit der Kindersicherung von Salfeld geknechtet wird :D

    Hatte vor 2 Jahren die erste Version des KisiKillers entwickelt, als ein Freund von mir eingeschränkt worden ist. Seitdem hat sich die Technik von Salfeld zwar weiterentwickelt, aber leider setzen die Sicherheitsfeatures an der falschen Stelle ein.

    Das Tool nutzt native APIs um TerminateProcess und CO zu umgehen und suspendiert auf diese Weise alle Threads der Kindersicherung. Als kleines Extra werden auch noch die Inline Hooks im Explorer entfernt. Alternativ zum Suspendieren kann die Kindersicherung auch komplett terminiert werden.

    Screenshot:


    Download:
    [hide]http://rapidshare.com/files/211217048/KisiKiller.exe[/hide]

    GruÃ? Zacherl

  • haha geiles teil :D darf ich das auf meiner Homepage anbieten?

    [LEFT][SIZE=1]Die "Szene" schon seit geburt an herzkrank und über die Jahre bilden sich immer mehr �deme, doch trotzdem schlägt das Herz noch irgendwie.[/SIZE][/LEFT]

  • Zitat von whit3;15640

    haha geiles teil :D darf ich das auf meiner Homepage anbieten?



    Klaro :) Die neue Version ist übrigens heute aus Langeweile entstanden. Nebenbei habe ich jetzt auch eine Methode, mit der ich Inline Hooks aus fremden Prozessen entfernen kann.

  • Klasse Sache auch wenn mich das nicht mehr betrifft schon lange nicht mehr ^^
    Was du so in Delphi zauberst ich schon beeindruckend das muss ich zugeben ich freue mich in Zukunft weiterhin so tolle Sachen zu sehen.
    GruÃ?,
    Teyhouse

  • Zitat von Teyhouse;15646

    Klasse Sache auch wenn mich das nicht mehr betrifft schon lange nicht mehr ^^
    Was du so in Delphi zauberst ich schon beeindruckend das muss ich zugeben ich freue mich in Zukunft weiterhin so tolle Sachen zu sehen.



    Jap Danke! Das Nächste von mir wird dann jetzt PentaCrypt sein.

  • Hui ne NEUE Version ;)
    Dazu muss man sagen, dass Zacherl schon für die alten Versionen von Kisi einen Killer gebastelt hatte, der auch sehr gut ging und sehr zu empfehlen war.
    Die GUI sieht echt sehr ansruchsvoll bzw. Klar aufgebaut, nettes Design bezüglich Banner und Text, einfach zu bedienen und echt mal aufeinander abgestimmt,aus. Gefällt mir sehr gut Zacherl.
    Mfg MewSiq

  • Wie sieht es bei x64 aus? Handelt der Schutz da komplett anders oder müsste nur deine Methode des Unhookens angepasst werden?


    Könnte da evtl. später helfen.

  • Ich verwende die Delphi 2009 IDE.


    f0Gx: Das Problem liegt am Unhooking. Ich weiÃ?, dass z.b. CreateProcessW im Explorer mit absolutem Sprung in den ersten 7 Bytes gehookt wird. Jetzt liste ich alle Module des Explorer auf, um an die ImageBase der kernel32.dll zu gelangen. Dann berechne ich den Einsprungspunkt der CreateProcessW API und stelle die Originalbytes im Zielprozess wieder her.
    Die Schwachstelle ist EnumProcessModules(): Der API ist es unmöglich aus einem 32 Bit Prozess raus die Module eines 64 Bit Prozesses aufzulisten.


    Epiphone: Nee ist nicht selbst gemacht. Im GFXen bin ich nicht gut. Der Header stammt vom User "murks" aus dem ehemaligen Leaked.to Board.