Tesla.Angela
发表于 2014-9-23 18:24:34
[测试]WIN7X64上的进程路径欺骗(过PCHUNTER等流行ARK)
如果需要购买这个PoC的源码,请查看这里。注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。32位版本:http://www.m5home.com/bbs/thread-8196-1-1.html
废话不说直接上图。注意PID和EPROCESS没变化,进程路径、父进程ID等变化了。
值得一提的是:这种方法不会触发PATCHGUARD,并支持32位和64位两种进程。
(^32位进程隐藏前^)
(^32位进程隐藏后^)
(^64位进程隐藏前^)
(^64位进程隐藏后^)
使用方法:
输入PID,即可把进程伪装成『C:\WINDOWS\SYSTEM32\SVCHOST.EXE』或『C:\WINDOWS\SYSWOW64\SVCHOST.EXE』(根据进程位数而定)。
使用禁忌:
1.目标程序存放的路径至少要比"C:\WINDOWS\SYSTEM32\SVCHOST.EXE"长,如果路径是"C:\1.EXE"就无法伪装。
2.目标程序必须存放在系统盘,否则很容易蓝屏。
46785131
发表于 2014-9-23 18:31:51
TA出品.必出精品!~~
KOK20141001
发表于 2014-10-7 13:41:35
谢谢分享哈哈哈哈
virus_kf
发表于 2014-10-30 14:48:20
有啥子用呢
homexigua
发表于 2014-11-14 13:35:10
看看什么情况
zfdyq
发表于 2014-12-9 19:54:29
学习了~
sinmon
发表于 2014-12-9 22:32:23
谢谢分享
yhcyhy2010
发表于 2014-12-13 22:10:57
谢谢分享
basketwill
发表于 2014-12-23 13:16:22
需要
cfhkwv
发表于 2014-12-30 18:52:57
研究研究
Thinkpador
发表于 2015-3-6 22:01:45
学习学习
從零開始
发表于 2015-3-7 18:08:08
必须看看
upring
发表于 2015-3-28 21:48:26
谢谢 分享
TouDaiMa
发表于 2015-3-31 16:01:45
不实用
xiaomo
发表于 2015-4-4 20:27:32
学习了..................
shaodian87
发表于 2015-4-12 10:16:05
哇 这个东西有点霸道啊
陌路人
发表于 2015-4-19 23:29:10
一定要看看
lcg2015
发表于 2015-4-26 17:20:47
这个不错,一定要要学习一下
lcg2015
发表于 2015-4-26 17:21:23
有源码吗?
dagangwood
发表于 2015-4-28 08:43:35
谢谢, LZ五一快乐!
黑衣
发表于 2015-4-29 22:27:55
好东西都要收藏
黑衣
发表于 2015-4-29 22:28:14
怎么还要回复 第二次!~~
luqi_44
发表于 2015-4-30 02:33:09
看看看看
lanjingling888
发表于 2015-5-19 12:54:20
大概看一下
309100
发表于 2015-6-25 12:55:43
弄个下来研究下...
ganjun
发表于 2015-7-8 22:40:13
x13579
发表于 2015-7-11 16:33:50
看看是什么东西
crkey
发表于 2015-8-1 11:04:49
能讲下大概原理么
wqh21
发表于 2015-8-1 20:00:44
黑科技啊
li53133
发表于 2015-8-14 08:55:46
谢谢分享
MakeRead
发表于 2015-8-22 10:00:09
学习学习
绿林科技
发表于 2015-8-22 22:03:33
谢谢分享