[技巧]使你的内核线程起始地址在NTOSKRNL范围内（仅WIN64）

Tesla.Angela · 发表于 2023-3-8 17:21:30

Theme: Let the starting address of your kernel thread locate in the NTOSKRNL image space.
Thema: Lass die Startadresse deines Kernel-Threads im Bereich des NTOSKRNL-Images lokalisieren.

隐藏内核线程还不触发PatchGuard是一个硬功夫，这对于那些需要长期驻留内存的后台程序尤其重要。下面介绍一个有点讨巧的办法，让你的内核线程起始地址在NTOSKRNL范围内，使得能够骗过部分对系统不了解，但又会使用ARK的人。

游客，如果您要查看本帖隐藏内容请回复

想用这个技巧骗过一些知名AV或者AC是不可能。借用电视剧里的一句话：“都是千年的狐狸了，还玩什么聊斋啊”。

iamasbcx · 发表于 2023-3-8 17:26:30

难得看到大佬更新

Krueger · 发表于 2023-3-8 17:53:24

难得看到大佬更新

lpmjknj · 发表于 2023-3-8 19:27:24

学习一下

lizhuowu · 发表于 2023-3-9 09:04:23

使你的内核线程起始地址在NTOSKRNL范围内

2254649642 · 发表于 2023-3-9 17:30:42

必须支持

chenyuan · 发表于 2023-3-21 21:34:50

支持一下

蜜蜂 · 发表于 2023-3-27 14:20:22

谢谢分享

jasonyao · 发表于 2023-4-13 00:34:38

感谢分享！！！

Ast1rtes · 发表于 2023-4-28 16:14:30

感谢分享Tesla.Angela大大的分享

帐号		自动登录	找回密码
密码			加入我们