无DLL 无驱隐藏进程是怎么做到的?
如提! 本帖最后由 ywledoc 于 2011-7-5 18:00 编辑改名+改父进程,傀儡进程,远程线程,EXE感染~
ring3和ring0都无法做到真正的隐藏~ 他要的效果应该与你所提及的层次有区别,估计只是对付任务管理器吧
如果是专用的ARK工具,用驱动都不一定搞得赢,还无驱.... 马大哈 发表于 2011-7-5 21:04 static/image/common/back.gif
他要的效果应该与你所提及的层次有区别,估计只是对付任务管理器吧
如果是专用的ARK工具,用驱动都不一定搞 ...
反正我是没有办法ring3隐藏进程,一般都是迷惑普通用户,最多最多就是寄宿在别的EXE上。
ARK下,了无秘密~ ywledoc 发表于 2011-7-5 22:25 static/image/common/back.gif
反正我是没有办法ring3隐藏进程,一般都是迷惑普通用户,最多最多就是寄宿在别的EXE上。
ARK下,了无秘密 ...
对付任务管理器,可以用经典的摘链嘛.
而且还见过变态的,就是你说的寄宿在别的EXE里,把自己整个注进去..... 马大哈 发表于 2011-7-5 22:33 static/image/common/back.gif
对付任务管理器,可以用经典的摘链嘛.
而且还见过变态的,就是你说的寄宿在别的EXE里,把自己整个注进去. ...
ring3摘链?这货表示我一点都不知道~ ywledoc 发表于 2011-7-6 01:04 static/image/common/back.gif
ring3摘链?这货表示我一点都不知道~
[分享]在2K/XP下隐藏进程的模块(VB6代码)
http://www.m5home.com/bbs/thread-1347-1-1.html
任务管理器里面是根据进程链表来遍历进程的,所以把自己那一链指向下一链的话.........
不过这代码你也只能在虚拟机里玩玩了,2003下好象无效,刚试过了.....XPSP1以上貌似也不行..... 嗯,这个我知道。
1.XP下无AV可以用NtSysDbgCtrl来摘进程双向链;
2.进程注入,伪装成svchost.exe之类的系统进程,这个办法很完美,兼容Win7,甚至在64位系统上也凑效,貌似木有什么ARK能发进程注入方式隐藏的进程;
以前我写过一个检测进程注入的demo,你搜索一下吧。 马大哈 发表于 2011-7-6 01:28 static/image/common/back.gif
[分享]在2K/XP下隐藏进程的模块(VB6代码)
http://www.m5home.com/bbs/thread-1347-1-1.html
试了裸蹦系统 2003 R2 XP SP2不能隐藏 ty0625 发表于 2011-7-8 21:09 static/image/common/back.gif
试了裸蹦系统 2003 R2 XP SP2不能隐藏
要是能隐藏就怪了。 na那你用全局钩子挂 那几个枚举 进程的API 试试! 建立个svchost.exe 启动的时候 暂停 挖空。
把要运行的。复制进去然后运行。。。
俗称的傀儡 Murray 发表于 2011-11-9 20:23 static/image/common/back.gif
建立个svchost.exe 启动的时候 暂停 挖空。
把要运行的。复制进去然后运行。。。
灰鸽子好象就是这样的..... 好增廣見聞!
页:
[1]