[思路]个人觉得比较好的隐藏进程/进程模块/内核模块的办法
说到隐藏这些东西,很多人就是用抹除内核信息的办法,其实这是进了思维的死胡同,抹除内核信息不仅不稳定,而且还是能被检查出来,一旦被检查出来必以红色标注,等于脸上写了“我是RK”,得不偿失。所以换个思路,无需欺骗ARK,欺骗ARK的使用者即可。
对于进程,要改掉进程名称,进程路径,用户名,改成SYSTEM用户名的svchost.exe即可。
对于进程模块,把LDR链里的路径改成一个有签名的/微软的DLL。
对于内核模块,同理,把把LDR链里的路径改成一个有签名的/微软的驱动。
当然,信息要改齐全了,否则还是没用。
如果要做绝点,就把HIPS/AV的Notify给删除。
如果你加载不了驱动,那就彻底算了吧。{:soso_e113:} 谢谢两位大牛的思路,要是能附一些DEMO代码就更好了 dico 发表于 2012-1-29 22:11 static/image/common/back.gif
谢谢两位大牛的思路,要是能附一些DEMO代码就更好了
代码网上早就有了,自己稍加改造即可。 Tesla.Angela 发表于 2012-1-30 18:52 static/image/common/back.gif
代码网上早就有了,自己稍加改造即可。
可否给个链接? 对于通过修改进程名,路径以及权限及所属用户,这种迷惑他人的方法确实不错,不过修改起来必须要改全,漏一个那就全OVER了,而且一般来说如果想进行后续的操作还是很难逃过ARK的扫描
对于模块采用有效签名的方式,不知道LZ有测试吗,貌似在XP上有点不好做,X64的话就不用说了,加载驱动都容易夭折 {:soso_e135:} mrkrcl 发表于 2012-2-1 15:05 static/image/common/back.gif
对于通过修改进程名,路径以及权限及所属用户,这种迷惑他人的方法确实不错,不过修改起来必须要改全,漏一 ...
“对于模块采用有效签名的方式”
这话好像不是我的意思吧,我是说Name.buffer随便填写一个有签名的驱动名字,不是说驱动自身要有签名。
至于如何在WIN64上加载驱动,请看WIN64底层区的帖子。 本帖最后由 mrkrcl 于 2012-2-1 20:44 编辑
Tesla.Angela 发表于 2012-2-1 15:25 static/image/common/back.gif
这话好像不是我的意思吧,我是说Name.buffer随便填写一个有签名的驱动名字,不是说驱动自身要有签名。
...
悲剧哈,理解错了LZ得意思,以为你要伪造签名呢,不过直接填充buffer,仅仅这一个应该是实现不了LZ所要达到的目的的
64位驱动加载,习惯了伪签名,LZ推荐的64位下加载驱动,最早在UNPACK看过,后来也在fyyre的个人主页找到源码确实很强大,不过对于发行版的驱动来说,还是签名来的可靠点
呵呵,学习了 :)
ps:Fyyre牛姐自己写的这种64位下加载驱动的方法,貌似其本人也是很不推荐使用的~最后膜拜下大牛~ mrkrcl 发表于 2012-2-1 20:41 static/image/common/back.gif
悲剧哈,理解错了LZ得意思,以为你要伪造签名呢,不过直接填充buffer,仅仅这一个应该是实现不了LZ所要达 ...
是么?Fyyre牛姐不推荐使用这种方法?!
我刚才上了一下fyyre的主页,发现她发了个支持win8的PG破解工具!!!
可惜此工具不再能破解DS,以后只能用“测试签名”模式+驱动测试签名了。 本帖最后由 mrkrcl 于 2012-2-4 13:21 编辑
Tesla.Angela 发表于 2012-2-4 11:16 static/image/common/back.gif
是么?Fyyre牛姐不推荐使用这种方法?!
我刚才上了一下fyyre的主页,发现她发了个支持win8的PG破解工具 ...
我不知道现在该XX是否有更新,是否趋于稳定了,早期版fyyre是不推荐使用的,这个在kernelinfo有过讨论的
ps:一直奔跑在32位XX上表示对WIN8,64B无奈~{:soso_e135:}
页:
[1]