[BIN+SRC]一个比较完整的进程信息欺骗DEMO（过XT、PT等流行ARK）

Tesla.Angela · 发表于 2013-4-19 12:13:34

watchsky 发表于 2013-4-18 16:34
x64win7偷令牌总蓝，是PG？

是的。偷令牌跟断链隐藏进程、内核HOOK一样，都被视为“藐视微软”的行为。所以PG一样会管。
但如果说偷完令牌创建进程再把令牌改回去，应该就没事了。就好象你去扒窃，没被警察逮到现行警察就没办法。

vip235689 · 发表于 2013-4-19 21:22:38

白名單過法?

kk1025 · 发表于 2013-4-19 22:27:59

想看,但權限太高看不到

pyq逍遥 · 发表于 2013-4-23 18:29:13

好东西

飘在未来 · 发表于 2013-4-23 23:26:10

路过看看！！！

wszjljx · 发表于 2013-4-23 23:41:38

看看是怎么实现的到底操作了哪些数据

夜太美 · 发表于 2013-4-29 04:04:05

Antispy 1.5 已经可以完美枚举到
FXice普通和强力的枚举进程可以完美枚举到

而且,不管是在线程处还是在句柄处都能找到痕迹...

Tesla.Angela · 发表于 2013-4-29 11:25:56

夜太美发表于 2013-4-29 04:04
Antispy 1.5 已经可以完美枚举到
FXice普通和强力的枚举进程可以完美枚举到

你眼睛是不是长在屁股上了，不看贴就回？这是隐藏进程么？这是进程信息欺骗。
AntiSpy 1.5看到的依然是修改过的信息。其他的菜鸟ARK就更加不用说了。
要破解这个DEMO，唯一的办法就是在我还没有修改进程信息时就记录了真实的信息。

rkq1991 · 发表于 2013-4-30 15:51:00

回复看看学习下。。。

nnluyi · 发表于 2013-5-1 08:52:49

有这么牛啊,
回复的验证码太难搞了

帐号		自动登录	找回密码
密码			加入我们