[测试]WIN7X64上的进程路径欺骗（过PCHUNTER等流行ARK）

Tesla.Angela · 发表于 2014-9-23 18:24:34

如果需要购买这个PoC的源码，请查看这里。

注意：部分PoC使用了知名的泄露证书（比如：“HT SRL”等）进行签名，微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载，请使用没有被微软拉黑的证书给驱动重新进行签名，或使用signtool工具移除驱动的签名后再关闭DSE进行测试。

32位版本：http://www.m5home.com/bbs/thread-8196-1-1.html

废话不说直接上图。注意PID和EPROCESS没变化，进程路径、父进程ID等变化了。
值得一提的是：这种方法不会触发PATCHGUARD，并支持32位和64位两种进程。

（^32位进程隐藏前^）

（^32位进程隐藏后^）

（^64位进程隐藏前^）

（^64位进程隐藏后^）

使用方法：
输入PID，即可把进程伪装成『C:\WINDOWS\SYSTEM32\SVCHOST.EXE』或『C:\WINDOWS\SYSWOW64\SVCHOST.EXE』（根据进程位数而定）。
使用禁忌：
1.目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长，如果路径是"C:\1.EXE"就无法伪装。
2.目标程序必须存放在系统盘，否则很容易蓝屏。

46785131 · 发表于 2014-9-23 18:31:51

TA出品.必出精品!~~

KOK20141001 · 发表于 2014-10-7 13:41:35

谢谢分享哈哈哈哈

virus_kf · 发表于 2014-10-30 14:48:20

有啥子用呢

homexigua · 发表于 2014-11-14 13:35:10

看看什么情况

zfdyq · 发表于 2014-12-9 19:54:29

学习了~

sinmon · 发表于 2014-12-9 22:32:23

谢谢分享

yhcyhy2010 · 发表于 2014-12-13 22:10:57

谢谢分享

basketwill · 发表于 2014-12-23 13:16:22

需要

cfhkwv · 发表于 2014-12-30 18:52:57

研究研究

帐号		自动登录	找回密码
密码			加入我们