找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 23391|回复: 54

[测试]WIN7X86上的进程路径欺骗(过PCHUNTER等流行ARK)

 火... [复制链接]

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
发表于 2014-9-23 18:19:36 | 显示全部楼层 |阅读模式
如果需要购买这个PoC的源码,请查看这里
注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。


废话不说直接上图。注意PID和EPROCESS没变化,进程路径、父进程ID等变化了。
w7x86-hide-before.png
(^隐藏前^)
w7x86-hide-after.png
(^隐藏后^)

使用方法
输入PID,即可把进程伪装成『C:\WINDOWS\SYSTEM32\SVCHOST.EXE』。

使用禁忌
1.目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长,如果路径是"C:\1.EXE"就无法伪装。
2.目标程序必须存放在系统盘,否则很容易蓝屏。

32.zip

62.91 KB, 下载次数: 3753

28

主题

116

回帖

0

精华

铜牌会员

积分
273
发表于 2014-9-24 08:56:53 | 显示全部楼层
前排卖汽水瓜子

2

主题

45

回帖

0

精华

铜牌会员

积分
214
发表于 2014-9-30 06:29:49 | 显示全部楼层
恩,这个看看

1

主题

77

回帖

0

精华

铂金会员

积分
1972
发表于 2014-10-30 22:42:01 | 显示全部楼层
学习了

0

主题

51

回帖

0

精华

铜牌会员

积分
97
发表于 2014-11-8 23:38:13 | 显示全部楼层
学习了解下

0

主题

12

回帖

0

精华

铜牌会员

积分
41
发表于 2014-12-5 16:02:50 | 显示全部楼层
路径为什么需要那么长?

0

主题

15

回帖

0

精华

初来乍到

积分
21
发表于 2014-12-10 08:29:23 | 显示全部楼层
看看是什么情况

0

主题

24

回帖

0

精华

铜牌会员

积分
165
发表于 2014-12-16 00:10:02 | 显示全部楼层
看看是什么情况

8

主题

51

回帖

0

精华

铜牌会员

积分
291
发表于 2014-12-16 01:10:35 | 显示全部楼层
下来学习下,

8

主题

51

回帖

0

精华

铜牌会员

积分
291
发表于 2014-12-16 01:10:38 | 显示全部楼层
下来学习下,

8

主题

51

回帖

0

精华

铜牌会员

积分
291
发表于 2014-12-22 01:18:10 | 显示全部楼层
老大我试用你的这个攻击,打开,点击加载驱动,提示无法加载驱动,在XP下面试用

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
 楼主| 发表于 2014-12-22 09:06:07 | 显示全部楼层
huangchao209 发表于 2014-12-22 01:18
老大我试用你的这个攻击,打开,点击加载驱动,提示无法加载驱动,在XP下面试用 ...

XP不能用,ONLY WIN7X86。

0

主题

2

回帖

0

精华

初来乍到

积分
52
发表于 2014-12-24 21:35:56 | 显示全部楼层
膜拜下 胡大哥

0

主题

8

回帖

0

精华

初来乍到

积分
30
发表于 2014-12-24 21:49:38 | 显示全部楼层
学习了 感谢分享资料

0

主题

8

回帖

0

精华

初来乍到

积分
30
发表于 2014-12-24 21:50:00 | 显示全部楼层
学习了 感谢分享资料
头像被屏蔽

0

主题

28

回帖

0

精华

铜牌会员

积分
50
发表于 2014-12-31 12:56:23 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

3

主题

26

回帖

0

精华

铜牌会员

积分
221
发表于 2015-3-9 19:27:19 | 显示全部楼层
kanlan

8

主题

69

回帖

2

精华

钻石会员

积分
3279
发表于 2015-3-11 21:30:48 | 显示全部楼层
虽然很想知道怎么实现的, 但是 膜拜下吧 先

0

主题

28

回帖

0

精华

银牌会员

积分
544
发表于 2015-3-15 10:48:13 | 显示全部楼层
学习一下,看看是怎样实现的么呢

1

主题

146

回帖

0

精华

贵宾会员

积分
2836
发表于 2015-4-4 20:26:02 | 显示全部楼层
0000000

1

主题

146

回帖

0

精华

贵宾会员

积分
2836
发表于 2015-4-4 20:26:02 | 显示全部楼层
0000000

0

主题

42

回帖

0

精华

贵宾会员

积分
1864
发表于 2015-4-8 14:22:07 | 显示全部楼层
这个事好东西啊啊

0

主题

55

回帖

0

精华

铜牌会员

积分
177
发表于 2015-4-25 22:00:08 | 显示全部楼层
目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长?为什么呢?

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-4-26 09:57:26 | 显示全部楼层
支持一下吧

3

主题

29

回帖

0

精华

贵宾会员

积分
1977
发表于 2015-4-30 22:39:02 | 显示全部楼层
学习TA!

6

主题

103

回帖

0

精华

金牌会员

积分
680
发表于 2015-5-2 09:38:16 | 显示全部楼层
围观,学习

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-5-2 10:42:19 | 显示全部楼层
今天来支持

0

主题

10

回帖

0

精华

铜牌会员

积分
52
发表于 2015-5-8 21:46:01 | 显示全部楼层
这个必须要看看啊

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-5-8 23:12:01 | 显示全部楼层
是呀是呀 今天来晚了

0

主题

117

回帖

0

精华

银牌会员

积分
595
发表于 2015-5-12 23:33:58 | 显示全部楼层
看下。。学习

2

主题

46

回帖

0

精华

铜牌会员

积分
61
发表于 2015-5-28 22:08:32 | 显示全部楼层
回复一下,,看看大神制作

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-5-28 23:25:32 | 显示全部楼层
看一下什么原理哈
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表