设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [BIN+SRC]一个比较完整的进程信息欺骗DEMO(过XT、PT等 ...
123456下一页
返回列表 发新帖
查看: 82501|回复: 176

[BIN+SRC]一个比较完整的进程信息欺骗DEMO(过XT、PT等流行ARK)

 火... [复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2013-4-12 00:57:38 | 显示全部楼层 |阅读模式
修改了EPROCESS结构体的名称、路径、命令行、父进程ID、启动时间、令牌等信息,让一个进程看起来非常像svchost.exe。而且,DKOM后的这个进程可以正常工作

修改之后,taskmgr.exe显示进程用户组为SYSTEM;AntiSpy 1.4、GMER 1.0.15、IceSword 1.22、Kernel Detective v1.4.0、PsNull3(最后一版)、IceLight 1.96.48、PowerTool 4.2、RkU 3.8 SR2、SnipeSword 1.0.3.5、Wsyscheck、PCHunter 1.2、天琊(最后一版)等ARK全部显示了错误的进程路径信息;SysReveal显示不了进程路径。

BIN仅支持XP。
隐藏进程前(注意PID为1008的进程):
1.png
隐藏进程后(注意PID为1008的进程):
2.png
核心代码(不少代码是从网上COPY来的,特此感谢原作者):
游客,如果您要查看本帖隐藏内容请回复
破解这个DEMO的办法(仅猜测,未实践):
游客,如果您要查看本帖隐藏内容请回复

drv_src.rar

3.26 KB, 阅读权限: 30, 下载次数: 67

售价: 20 水晶币  [记录]

bin.rar

14.56 KB, 下载次数: 13252

9:04更新版
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

liubin121051

0

主题

25

回帖

0

精华

铜牌会员

积分
34
发表于 2013-4-12 01:24:15 | 显示全部楼层
看看看看看啊啊
回复

举报

kk1025

7

主题

414

回帖

1

精华

铂金会员

积分
2173
发表于 2013-4-12 07:47:48 | 显示全部楼层
回復看內容囉, 感謝大大提供
回复

举报

dico

2

主题

72

回帖

0

精华

银牌会员

积分
597
发表于 2013-4-12 08:06:13 | 显示全部楼层
本帖最后由 dico 于 2013-4-12 08:07 编辑

老大又放招了,特来支持,膜拜!
晕,权限不够!郁闷。设置这么高权限干嘛

点评

Tesla.Angela
核心代码没有权限。  发表于 2013-4-12 09:21
回复

举报

1haoyu

4

主题

58

回帖

1

精华

钻石会员

积分
2894
发表于 2013-4-12 12:15:51 | 显示全部楼层
学习核心代码!
回复

举报

xmlpull

9

主题

117

回帖

0

精华

银牌会员

积分
422
发表于 2013-4-12 16:51:26 | 显示全部楼层
牛。!
回复

举报

sanyoo

2

主题

51

回帖

0

精华

银牌会员

积分
540
发表于 2013-4-14 20:23:04 | 显示全部楼层
看一下
回复

举报

lpmjknj

3

主题

122

回帖

0

精华

铜牌会员

积分
291
发表于 2013-4-16 08:47:52 | 显示全部楼层
权限太高不能下载。
回复

举报

watchsky

4

主题

183

回帖

3

精华

钻石会员

积分
4965
发表于 2013-4-18 16:30:23 | 显示全部楼层
see
回复

举报

watchsky

4

主题

183

回帖

3

精华

钻石会员

积分
4965
发表于 2013-4-18 16:34:31 | 显示全部楼层
x64win7偷令牌总蓝,是PG?
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2013-4-19 12:13:34 | 显示全部楼层
watchsky 发表于 2013-4-18 16:34
x64win7偷令牌总蓝,是PG?


是的。偷令牌跟断链隐藏进程、内核HOOK一样,都被视为“藐视微软”的行为。所以PG一样会管。
但如果说偷完令牌创建进程再把令牌改回去,应该就没事了。就好象你去扒窃,没被警察逮到现行警察就没办法。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

vip235689

2

主题

46

回帖

0

精华

铜牌会员

积分
61
发表于 2013-4-19 21:22:38 | 显示全部楼层
白名單過法?
回复

举报

kk1025

7

主题

414

回帖

1

精华

铂金会员

积分
2173
发表于 2013-4-19 22:27:59 | 显示全部楼层
想看,但權限太高看不到
回复

举报

pyq逍遥

0

主题

9

回帖

0

精华

铜牌会员

积分
53
发表于 2013-4-23 18:29:13 | 显示全部楼层
好东西
回复

举报

飘在未来

10

主题

92

回帖

0

精华

银牌会员

积分
381
发表于 2013-4-23 23:26:10 | 显示全部楼层
路过看看!!!
回复

举报

wszjljx

21

主题

162

回帖

4

精华

论坛元老

Tokyo-Hot

积分
5945
QQ
发表于 2013-4-23 23:41:38 | 显示全部楼层
看看是怎么实现的 到底操作了哪些数据
洗澡脱光衣服打开水才发现自己没带洗发水没带沐浴乳只带了一包洗衣粉 心酸的用洗衣粉把自己搓了一遍... ...
回复

举报

夜太美

0

主题

32

回帖

0

精华

铜牌会员

积分
50
发表于 2013-4-29 04:04:05 | 显示全部楼层
Antispy 1.5 已经可以完美枚举到
FXice普通和强力的枚举进程可以完美枚举到

而且,不管是在线程处还是在句柄处都能找到痕迹...
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2013-4-29 11:25:56 | 显示全部楼层
夜太美 发表于 2013-4-29 04:04
Antispy 1.5 已经可以完美枚举到
FXice普通和强力的枚举进程可以完美枚举到


你眼睛是不是长在屁股上了,不看贴就回?这是隐藏进程么?这是进程信息欺骗。
AntiSpy 1.5看到的依然是修改过的信息。其他的菜鸟ARK就更加不用说了。
要破解这个DEMO,唯一的办法就是在我还没有修改进程信息时就记录了真实的信息。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

rkq1991

0

主题

30

回帖

0

精华

铜牌会员

积分
124
发表于 2013-4-30 15:51:00 | 显示全部楼层
回复看看   学习下。。。
回复

举报

nnluyi

0

主题

9

回帖

0

精华

铜牌会员

积分
78
发表于 2013-5-1 08:52:49 | 显示全部楼层
有这么牛啊,
回复的验证码太难搞了
回复

举报

lkytal

0

主题

40

回帖

0

精华

铜牌会员

积分
140
发表于 2013-5-1 19:24:28 | 显示全部楼层
学习下~
回复

举报

oopww

9

主题

210

回帖

0

精华

初来乍到

积分
904
发表于 2013-5-3 22:31:03 | 显示全部楼层
普通用户,加载不了驱动。。。。。
有没有办法越权?就是在普通用户下创建管理员权限的进程,应用该进程做一些其他事!
http://hi.baidu.com/cfan_
回复

举报

bugmany

0

主题

1

回帖

0

精华

初来乍到

积分
23
发表于 2013-5-3 23:27:22 | 显示全部楼层
没法下载src...看看核心代码也好
回复

举报

wjy81

0

主题

27

回帖

0

精华

铜牌会员

积分
85
发表于 2013-5-6 09:57:19 | 显示全部楼层
支持一下。。。。。。。。。。。。
回复

举报

coffeemlx

0

主题

20

回帖

0

精华

铜牌会员

积分
101
发表于 2013-5-11 13:11:14 | 显示全部楼层
谢谢楼主提供分享!
回复

举报

zerovos

0

主题

17

回帖

0

精华

铜牌会员

积分
93
发表于 2013-5-17 15:44:18 | 显示全部楼层
此一次看看是什么
回复

举报

jzy1115

0

主题

117

回帖

0

精华

铜牌会员

积分
258
发表于 2013-5-25 09:16:43 | 显示全部楼层
看看了。。。
回复

举报

404022

0

主题

19

回帖

0

精华

铜牌会员

积分
79
发表于 2013-6-13 12:52:09 | 显示全部楼层
不知道能不能用在Win764上。。。
回复

举报

bboyiori

2

主题

38

回帖

1

精华

铂金会员

积分
1395
发表于 2013-6-20 17:56:55 | 显示全部楼层
在hook里面应该与蛛丝马迹
回复

举报

samvon

0

主题

3

回帖

0

精华

初来乍到

积分
63
发表于 2013-7-7 19:23:41 | 显示全部楼层
看起来很容易被利用的样子...
回复

举报

redcat

0

主题

5

回帖

0

精华

初来乍到

积分
25
发表于 2013-7-8 12:17:41 | 显示全部楼层
下来用用3Q
回复

举报

xxy19804

4

主题

62

回帖

1

精华

铂金会员

积分
1523
发表于 2013-7-11 09:48:19 | 显示全部楼层
我要深入研究下,长见识啊
回复

举报

123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表