[超烂]检测傀儡进程
通过对比主模块的基址判断是否为傀儡进程,只能在NT x86上工作,详情见源码。 上次遇到的那个被挖空填上木马的svchost.exe查死我了........查到那个进程还是非常偶然的,用天琊发现那个进程是某个不正常的IE进程的父进程后,DUMP内存出来让陈辉看.
结果发现正常的内存应该是几十K左右,DUMP出来竟然有几百K,才发现是这个进程的问题.
后来才在服务里抓到了原本,那个服务启动后把这个SVCHOS.EXE挖空了填上木马,自己就停止运行,怪不得找不到....
有个扫描功能就非常方便了. 回复 马大哈 的帖子
这个只是个demo,还不是个软件。
而且驱动里面NtTerminateProcess的地址是硬编码,理论上说在别人机器上运行就一定会蓝屏。
不过你可以叫陈辉帮你改一下嘛。
随时监测。。。浪费资源。。。。。。。。。{:soso_e140:} 看看先! 很有用
页:
[1]