[BIN+SRC]一个比较完整的进程信息欺骗DEMO（过XT、PT等流行ARK）

Tesla.Angela · 发表于 2013-4-12 00:57:38

修改了EPROCESS结构体的名称、路径、命令行、父进程ID、启动时间、令牌等信息，让一个进程看起来非常像svchost.exe。而且，DKOM后的这个进程可以正常工作。

修改之后，taskmgr.exe显示进程用户组为SYSTEM；AntiSpy 1.4、GMER 1.0.15、IceSword 1.22、Kernel Detective v1.4.0、PsNull3（最后一版）、IceLight 1.96.48、PowerTool 4.2、RkU 3.8 SR2、SnipeSword 1.0.3.5、Wsyscheck、PCHunter 1.2、天琊（最后一版）等ARK全部显示了错误的进程路径信息；SysReveal显示不了进程路径。

BIN仅支持XP。

隐藏进程前（注意PID为1008的进程）：

隐藏进程后（注意PID为1008的进程）：

核心代码（不少代码是从网上COPY来的，特此感谢原作者）：

游客，如果您要查看本帖隐藏内容请回复

破解这个DEMO的办法（仅猜测，未实践）：

游客，如果您要查看本帖隐藏内容请回复

liubin121051 · 发表于 2013-4-12 01:24:15

看看看看看啊啊

kk1025 · 发表于 2013-4-12 07:47:48

回復看內容囉, 感謝大大提供

dico · 发表于 2013-4-12 08:06:13

本帖最后由 dico 于 2013-4-12 08:07 编辑

老大又放招了，特来支持，膜拜！
晕，权限不够！郁闷。设置这么高权限干嘛

1haoyu · 发表于 2013-4-12 12:15:51

学习核心代码！

xmlpull · 发表于 2013-4-12 16:51:26

牛。！

sanyoo · 发表于 2013-4-14 20:23:04

看一下

lpmjknj · 发表于 2013-4-16 08:47:52

权限太高不能下载。

watchsky · 发表于 2013-4-18 16:30:23

watchsky · 发表于 2013-4-18 16:34:31

x64win7偷令牌总蓝，是PG？

帐号		自动登录	找回密码
密码			加入我们

[BIN+SRC]一个比较完整的进程信息欺骗DEMO（过XT、PT等流行ARK）

点评