[原创开源]“隐藏”你的内核线程

Tesla.Angela 发表于 2013-8-22 09:23:51

效果如图所示：明明是自己的内核线程，XT却显示在ntos模块里。

秘密就在代码里。此方式同样适用于WIN64，不过代码要稍作修改。
PS1：不是坑爹的shellcode方式。
PS2：今天为某人祈福，就不设阅读权限和水晶币了。

jzy1115 发表于 2013-8-22 11:00:52

知道原理了，不过为什么在KeBugCheckEx前边呢，自己申请内存不行么

Tesla.Angela 发表于 2013-8-22 11:46:30

jzy1115 发表于 2013-8-22 11:00 static/image/common/back.gif
知道原理了，不过为什么在KeBugCheckEx前边呢，自己申请内存不行么

自己申请内存的话，地址就不在NTOS的范围里了，亲！

jzy1115 发表于 2013-8-22 16:09:49

忘了{:soso_e127:}，的确不能自己申请

qqlinhai 发表于 2013-8-22 19:29:10

感谢某人{:soso_e113:}、感谢楼主，先回帖再看代码。

weimjsam 发表于 2013-9-2 09:45:17

多谢LZ分享

x64asm 发表于 2014-5-17 15:50:06

你这种方式兼容性不好，会触发内核修补保护，我现在使用的方式不需要使用汇编指令进行中转。C语言层面三行代码就能搞定。

wqs3568 发表于 2014-8-6 17:15:56

看来病毒又要泛滥了

azi6691 发表于 2014-8-28 12:01:44

x64asm 发表于 2014-5-17 15:50
你这种方式兼容性不好，会触发内核修补保护，我现在使用的方式不需要使用汇编指令进行中转。C语言层面三行 ...

哪三行？

sku__ 发表于 2015-1-8 08:29:04

谢谢分享

陌路人 发表于 2015-4-19 21:00:51

学习了

upring 发表于 2015-4-23 19:39:58

看一下哈

upring 发表于 2015-4-25 12:17:13

对大侠真是ORG

页: [1]

紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛's Archiver