《WIN64驱动教程》补充[9]:关于ARK获取进程路径的方法
作者:Tesla.Angela经常有人想通过隐藏进程的方法隐藏外挂。其实隐藏进程不如修改进程信息。
下面说一下ARK都是从哪里获取进程名和进程路径的。基本上来说就是以下9条线:
1.EPROCESS->ImageFileName(进程名)
2.EPROCESS->SeAuditProcessCreationInfo->ImageFileName
3.EPROCESS->SectionObject->Segment->ControlArea->FilePointer->FileName
4.EPROCESS->PEB->ProcessParameters->ImagePathName
5.EPROCESS->PEB->ProcessParameters->CommandLine
6.EPROCESS->PEB->ProcessParameters->WindowTitle(快捷方式)
7.EPROCESS->PEB->Ldr->InLoadOrderLinks->FullDllName
8.EPROCESS->PEB->Ldr->InLoadOrderLinks->BaseDllName(进程名)
9.EPROCESS->PEB->Ldr->InMemoryOrderLinks->FullDllName(进程名)
其实还有一个从EPROCESS->VADRoot->RightChild->ControlArea->FilePointer->FileName获取路径的方法。
但因为这里面的ControlArea和方法3的ControlArea是同一个,所以可以忽略了。
此外,方法3中获取ControlArea的值有点特殊,请务必注意下面的WINDBG演示。
友情提示:如果把这些数据全部改掉,那么基本上可以过各种ARK。
以下演示基于WINXP,其他系统大同小异。
**** Hidden Message ***** 顶老大啊~帮老大补充一下方法3如果系统是win7的时候,file_object结构体成了
+0x024 FilePointer : _EX_FAST_REF
这个时候要FilePointer&0xfffffff8的结果才是真正的FILE_OBJECT 学习了 学习了 2024补充学习 2024春节补充知识中,非常感谢分享 学习一下 感谢分享 好好学习一下
页:
[1]