紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 15982|回复: 93

[原创]WIN7X64上的进程路径欺骗(过PCHUNTER等流行ARK)

  [复制链接]

822

主题

3356

帖子

2

精华

管理员

身居欧盟,心系中华。

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
35897
发表于 2014-9-23 18:24:34 | 显示全部楼层 |阅读模式
如果需要购买这个PoC的源码,请查看这里


废话不说直接上图。注意PID和EPROCESS没变化,进程路径、父进程ID等变化了。
值得一提的是:这种方法不会触发PATCHGUARD,并支持32位和64位两种进程。
w7x64-hide32-before.png
(^32位进程隐藏前^)
w7x64-hide32-after.png
(^32位进程隐藏后^)
w7x64-hide64-before.png
(^64位进程隐藏前^)
w7x64-hide64-after.png
(^64位进程隐藏后^)

使用方法
输入PID,即可把进程伪装成『C:\WINDOWS\SYSTEM32\SVCHOST.EXE』或『C:\WINDOWS\SYSWOW64\SVCHOST.EXE』(根据进程位数而定)。
使用禁忌
1.目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长,如果路径是"C:\1.EXE"就无法伪装。
2.目标程序必须存放在系统盘,否则很容易蓝屏。

64.zip

89.18 KB, 下载次数: 1459

0

主题

34

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
68
发表于 2014-9-23 18:31:51 | 显示全部楼层
TA出品.必出精品!~~

0

主题

42

帖子

0

精华

贵宾会员

Rank: 2Rank: 2

积分
1864
发表于 2014-10-7 13:41:35 | 显示全部楼层
谢谢分享哈哈哈哈

0

主题

13

帖子

0

精华

初来乍到

Rank: 1

积分
97
发表于 2014-10-30 14:48:20 | 显示全部楼层
有啥子用呢

0

主题

12

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
41
发表于 2014-11-14 13:35:10 | 显示全部楼层
看看什么情况

5

主题

54

帖子

0

精华

初来乍到

Rank: 1

积分
4262
发表于 2014-12-9 19:54:29 | 显示全部楼层
学习了~

0

主题

13

帖子

0

精华

初来乍到

Rank: 1

积分
8
发表于 2014-12-9 22:32:23 | 显示全部楼层
谢谢分享

0

主题

24

帖子

0

精华

初来乍到

Rank: 1

积分
165
发表于 2014-12-13 22:10:57 | 显示全部楼层
谢谢分享

0

主题

47

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
74
发表于 2014-12-23 13:16:22 | 显示全部楼层
需要

0

主题

1

帖子

0

精华

初来乍到

Rank: 1

积分
23
发表于 2014-12-30 18:52:57 | 显示全部楼层
研究研究
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2020-2-23 08:39 , Processed in 0.044027 second(s), 28 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表