Tesla.Angela
发表于 2014-9-23 18:19:36
[测试]WIN7X86上的进程路径欺骗(过PCHUNTER等流行ARK)
如果需要购买这个PoC的源码,请查看这里。注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。64位版本:http://www.m5home.com/bbs/thread-8197-1-1.html
废话不说直接上图。注意PID和EPROCESS没变化,进程路径、父进程ID等变化了。
(^隐藏前^)
(^隐藏后^)
使用方法:
输入PID,即可把进程伪装成『C:\WINDOWS\SYSTEM32\SVCHOST.EXE』。
使用禁忌:
1.目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长,如果路径是"C:\1.EXE"就无法伪装。
2.目标程序必须存放在系统盘,否则很容易蓝屏。
gfw
发表于 2014-9-24 08:56:53
前排卖汽水瓜子
hapi
发表于 2014-9-30 06:29:49
恩,这个看看
mlyknown
发表于 2014-10-30 22:42:01
学习了
jgyolm
发表于 2014-11-8 23:38:13
学习了解下
homexigua
发表于 2014-12-5 16:02:50
路径为什么需要那么长?
Thinkpador
发表于 2014-12-10 08:29:23
看看是什么情况
yhcyhy2010
发表于 2014-12-16 00:10:02
看看是什么情况
huangchao209
发表于 2014-12-16 01:10:35
下来学习下,
huangchao209
发表于 2014-12-16 01:10:38
下来学习下,
huangchao209
发表于 2014-12-22 01:18:10
老大我试用你的这个攻击,打开,点击加载驱动,提示无法加载驱动,在XP下面试用
Tesla.Angela
发表于 2014-12-22 09:06:07
huangchao209 发表于 2014-12-22 01:18
老大我试用你的这个攻击,打开,点击加载驱动,提示无法加载驱动,在XP下面试用 ...
XP不能用,ONLY WIN7X86。
qyh888888
发表于 2014-12-24 21:35:56
膜拜下 胡大哥
飘零未忍
发表于 2014-12-24 21:49:38
学习了 感谢分享资料
飘零未忍
发表于 2014-12-24 21:50:00
学习了 感谢分享资料
lilianuo
发表于 2014-12-31 12:56:23
從零開始
发表于 2015-3-9 19:27:19
kanlan
陌路人
发表于 2015-3-11 21:30:48
虽然很想知道怎么实现的, 但是 膜拜下吧 先
菜鸟痕迹
发表于 2015-3-15 10:48:13
学习一下,看看是怎样实现的么呢
xiaomo
发表于 2015-4-4 20:26:02
0000000
xiaomo
发表于 2015-4-4 20:26:02
0000000
KOK20141001
发表于 2015-4-8 14:22:07
这个事好东西啊啊
renminbi
发表于 2015-4-25 22:00:08
目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长?为什么呢?
upring
发表于 2015-4-26 09:57:26
支持一下吧
dagangwood
发表于 2015-4-30 22:39:02
学习TA!
luqi_44
发表于 2015-5-2 09:38:16
围观,学习
upring
发表于 2015-5-2 10:42:19
今天来支持
fh2002
发表于 2015-5-8 21:46:01
这个必须要看看啊
upring
发表于 2015-5-8 23:12:01
是呀是呀 今天来晚了
andylau004
发表于 2015-5-12 23:33:58
看下。。学习
vip235689
发表于 2015-5-28 22:08:32
回复一下,,看看大神制作
upring
发表于 2015-5-28 23:25:32
看一下什么原理哈