设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [测试]WIN7X86上的进程路径欺骗(过PCHUNTER等流行ARK) ...
12下一页
返回列表 发新帖
查看: 27315|回复: 54

[测试]WIN7X86上的进程路径欺骗(过PCHUNTER等流行ARK)

 火... [复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2014-9-23 18:19:36 | 显示全部楼层 |阅读模式
如果需要购买这个PoC的源码,请查看这里
注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。
64位版本:http://www.m5home.com/bbs/thread-8197-1-1.html

废话不说直接上图。注意PID和EPROCESS没变化,进程路径、父进程ID等变化了。
w7x86-hide-before.png
(^隐藏前^)
w7x86-hide-after.png
(^隐藏后^)

使用方法
输入PID,即可把进程伪装成『C:\WINDOWS\SYSTEM32\SVCHOST.EXE』。

使用禁忌
1.目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长,如果路径是"C:\1.EXE"就无法伪装。
2.目标程序必须存放在系统盘,否则很容易蓝屏。

32.zip

62.91 KB, 下载次数: 5122
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

gfw

28

主题

116

回帖

0

精华

铜牌会员

积分
273
发表于 2014-9-24 08:56:53 | 显示全部楼层
前排卖汽水瓜子
回复

举报

hapi

2

主题

45

回帖

0

精华

铜牌会员

积分
214
发表于 2014-9-30 06:29:49 | 显示全部楼层
恩,这个看看
回复

举报

mlyknown

1

主题

77

回帖

0

精华

铂金会员

积分
1972
发表于 2014-10-30 22:42:01 | 显示全部楼层
学习了
回复

举报

jgyolm

0

主题

51

回帖

0

精华

铜牌会员

积分
97
发表于 2014-11-8 23:38:13 | 显示全部楼层
学习了解下
回复

举报

homexigua

0

主题

12

回帖

0

精华

铜牌会员

积分
41
发表于 2014-12-5 16:02:50 | 显示全部楼层
路径为什么需要那么长?
回复

举报

Thinkpador

0

主题

15

回帖

0

精华

初来乍到

积分
21
发表于 2014-12-10 08:29:23 | 显示全部楼层
看看是什么情况
回复

举报

yhcyhy2010

0

主题

24

回帖

0

精华

铜牌会员

积分
165
发表于 2014-12-16 00:10:02 | 显示全部楼层
看看是什么情况
回复

举报

huangchao209

8

主题

51

回帖

0

精华

铜牌会员

积分
291
发表于 2014-12-16 01:10:35 | 显示全部楼层
下来学习下,
回复

举报

huangchao209

8

主题

51

回帖

0

精华

铜牌会员

积分
291
发表于 2014-12-16 01:10:38 | 显示全部楼层
下来学习下,
回复

举报

huangchao209

8

主题

51

回帖

0

精华

铜牌会员

积分
291
发表于 2014-12-22 01:18:10 | 显示全部楼层
老大我试用你的这个攻击,打开,点击加载驱动,提示无法加载驱动,在XP下面试用
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2014-12-22 09:06:07 | 显示全部楼层
huangchao209 发表于 2014-12-22 01:18
老大我试用你的这个攻击,打开,点击加载驱动,提示无法加载驱动,在XP下面试用 ...

XP不能用,ONLY WIN7X86。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

qyh888888

0

主题

2

回帖

0

精华

初来乍到

积分
52
发表于 2014-12-24 21:35:56 | 显示全部楼层
膜拜下 胡大哥
回复

举报

飘零未忍

0

主题

8

回帖

0

精华

初来乍到

积分
30
发表于 2014-12-24 21:49:38 | 显示全部楼层
学习了 感谢分享资料
回复

举报

飘零未忍

0

主题

8

回帖

0

精华

初来乍到

积分
30
发表于 2014-12-24 21:50:00 | 显示全部楼层
学习了 感谢分享资料
回复

举报

lilianuo
头像被屏蔽

0

主题

28

回帖

0

精华

铜牌会员

积分
50
发表于 2014-12-31 12:56:23 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

举报

從零開始

3

主题

26

回帖

0

精华

铜牌会员

积分
221
发表于 2015-3-9 19:27:19 | 显示全部楼层
kanlan
回复

举报

陌路人

8

主题

69

回帖

2

精华

钻石会员

积分
3279
发表于 2015-3-11 21:30:48 | 显示全部楼层
虽然很想知道怎么实现的, 但是 膜拜下吧 先
回复

举报

菜鸟痕迹

0

主题

28

回帖

0

精华

银牌会员

积分
544
发表于 2015-3-15 10:48:13 | 显示全部楼层
学习一下,看看是怎样实现的么呢
回复

举报

xiaomo

1

主题

146

回帖

0

精华

贵宾会员

积分
2836
发表于 2015-4-4 20:26:02 | 显示全部楼层
0000000
回复

举报

xiaomo

1

主题

146

回帖

0

精华

贵宾会员

积分
2836
发表于 2015-4-4 20:26:02 | 显示全部楼层
0000000
回复

举报

KOK20141001

0

主题

42

回帖

0

精华

贵宾会员

积分
1864
发表于 2015-4-8 14:22:07 | 显示全部楼层
这个事好东西啊啊
回复

举报

renminbi

0

主题

55

回帖

0

精华

铜牌会员

积分
177
发表于 2015-4-25 22:00:08 | 显示全部楼层
目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长?为什么呢?
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-4-26 09:57:26 | 显示全部楼层
支持一下吧
回复

举报

dagangwood

3

主题

29

回帖

0

精华

贵宾会员

积分
1977
发表于 2015-4-30 22:39:02 | 显示全部楼层
学习TA!
回复

举报

luqi_44

6

主题

103

回帖

0

精华

金牌会员

积分
680
发表于 2015-5-2 09:38:16 | 显示全部楼层
围观,学习
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-5-2 10:42:19 | 显示全部楼层
今天来支持
回复

举报

fh2002

0

主题

10

回帖

0

精华

铜牌会员

积分
52
发表于 2015-5-8 21:46:01 | 显示全部楼层
这个必须要看看啊
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-5-8 23:12:01 | 显示全部楼层
是呀是呀 今天来晚了
回复

举报

andylau004

0

主题

117

回帖

0

精华

银牌会员

积分
595
发表于 2015-5-12 23:33:58 | 显示全部楼层
看下。。学习
回复

举报

vip235689

2

主题

46

回帖

0

精华

铜牌会员

积分
61
发表于 2015-5-28 22:08:32 | 显示全部楼层
回复一下,,看看大神制作
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-5-28 23:25:32 | 显示全部楼层
看一下什么原理哈
回复

举报

12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表