[BIN+SRC]一个比较完整的进程信息欺骗DEMO(过XT、PT等流行ARK)
修改了EPROCESS结构体的名称、路径、命令行、父进程ID、启动时间、令牌等信息,让一个进程看起来非常像svchost.exe。而且,DKOM后的这个进程可以正常工作。修改之后,taskmgr.exe显示进程用户组为SYSTEM;AntiSpy 1.4、GMER 1.0.15、IceSword 1.22、Kernel Detective v1.4.0、PsNull3(最后一版)、IceLight 1.96.48、PowerTool 4.2、RkU 3.8 SR2、SnipeSword 1.0.3.5、Wsyscheck、PCHunter 1.2、天琊(最后一版)等ARK全部显示了错误的进程路径信息;SysReveal显示不了进程路径。
BIN仅支持XP。隐藏进程前(注意PID为1008的进程):
隐藏进程后(注意PID为1008的进程):
核心代码(不少代码是从网上COPY来的,特此感谢原作者):**** Hidden Message *****破解这个DEMO的办法(仅猜测,未实践):**** Hidden Message ***** 看看看看看啊啊 回復看內容囉, 感謝大大提供 本帖最后由 dico 于 2013-4-12 08:07 编辑
老大又放招了,特来支持,膜拜!
晕,权限不够!郁闷。设置这么高权限干嘛 学习核心代码! 牛。! 看一下 权限太高不能下载。 see x64win7偷令牌总蓝,是PG? watchsky 发表于 2013-4-18 16:34 static/image/common/back.gif
x64win7偷令牌总蓝,是PG?
是的。偷令牌跟断链隐藏进程、内核HOOK一样,都被视为“藐视微软”的行为。所以PG一样会管。
但如果说偷完令牌创建进程再把令牌改回去,应该就没事了。就好象你去扒窃,没被警察逮到现行警察就没办法。 白名單過法? 想看,但權限太高看不到 好东西 路过看看!!! 看看是怎么实现的 到底操作了哪些数据 Antispy 1.5 已经可以完美枚举到
FXice普通和强力的枚举进程可以完美枚举到
而且,不管是在线程处还是在句柄处都能找到痕迹... 夜太美 发表于 2013-4-29 04:04 static/image/common/back.gif
Antispy 1.5 已经可以完美枚举到
FXice普通和强力的枚举进程可以完美枚举到
你眼睛是不是长在屁股上了,不看贴就回?这是隐藏进程么?这是进程信息欺骗。
AntiSpy 1.5看到的依然是修改过的信息。其他的菜鸟ARK就更加不用说了。
要破解这个DEMO,唯一的办法就是在我还没有修改进程信息时就记录了真实的信息。 回复看看 学习下。。。 有这么牛啊,
回复的验证码太难搞了 学习下~ 普通用户,加载不了驱动。。。。。
有没有办法越权?就是在普通用户下创建管理员权限的进程,应用该进程做一些其他事! 没法下载src...看看核心代码也好 支持一下。。。。。。。。。。。。 谢谢楼主提供分享! 此一次看看是什么 看看了。。。 不知道能不能用在Win764上。。。 在hook里面应该与蛛丝马迹 看起来很容易被利用的样子... 下来用用3Q 我要深入研究下,长见识啊