[测试]WIN7X86上的进程路径欺骗（过PCHUNTER等流行ARK）

Tesla.Angela · 发表于 2014-9-23 18:19:36

如果需要购买这个PoC的源码，请查看这里。

注意：部分PoC使用了知名的泄露证书（比如：“HT SRL”等）进行签名，微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载，请使用没有被微软拉黑的证书给驱动重新进行签名，或使用signtool工具移除驱动的签名后再关闭DSE进行测试。

64位版本：http://www.m5home.com/bbs/thread-8197-1-1.html

废话不说直接上图。注意PID和EPROCESS没变化，进程路径、父进程ID等变化了。

（^隐藏前^）

（^隐藏后^）

使用方法：
输入PID，即可把进程伪装成『C:\WINDOWS\SYSTEM32\SVCHOST.EXE』。

使用禁忌：
1.目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长，如果路径是"C:\1.EXE"就无法伪装。
2.目标程序必须存放在系统盘，否则很容易蓝屏。

gfw · 发表于 2014-9-24 08:56:53

前排卖汽水瓜子

hapi · 发表于 2014-9-30 06:29:49

恩，这个看看

mlyknown · 发表于 2014-10-30 22:42:01

学习了

jgyolm · 发表于 2014-11-8 23:38:13

学习了解下

homexigua · 发表于 2014-12-5 16:02:50

路径为什么需要那么长?

Thinkpador · 发表于 2014-12-10 08:29:23

看看是什么情况

yhcyhy2010 · 发表于 2014-12-16 00:10:02

看看是什么情况

huangchao209 · 发表于 2014-12-16 01:10:35

下来学习下，

huangchao209 · 发表于 2014-12-16 01:10:38

下来学习下，

帐号		自动登录	找回密码
密码			加入我们