Tesla.Angela
发表于 2015-4-16 19:48:20
[测试]WIN7X64上的DLL路径欺骗(过PCHUNTER等流行ARK)
如果需要购买这个PoC的源码,请查看这里。注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。32位版本:http://www.vbasm.com/thread-8391-1-1.html
废话不说直接上图。注意DLL的BASE没变化,但指向的文件变化了。
值得一提的是:这种方法不会触发PATCHGUARD,并支持32位和64位两种进程。
32位进程修改前:
32位进程修改后:
64位进程修改前:
64位进程修改后:
使用方法:
输入PID即可。
jianyifan
发表于 2015-4-24 18:10:35
很好,技术性强。
KOK20141001
发表于 2015-4-25 14:07:31
好东西啊 谢谢
陌路人
发表于 2015-4-26 09:16:33
谢坛主分享
陌路人
发表于 2015-4-26 09:17:32
亲, 水晶币扣了东西下载不了
284406022
发表于 2015-4-26 09:23:49
来看看怎么实现的
lcg2015
发表于 2015-4-26 17:09:00
学一下
shaodian87
发表于 2015-4-27 13:17:05
谢谢大大的分享 我会继续努力学习
我最亲爱的说
发表于 2015-4-27 21:56:43
很好,技术性强。
我最亲爱的说
发表于 2015-4-27 21:57:24
很好,技术性强。
dagangwood
发表于 2015-4-27 23:24:26
Very Good, 学习!
luqi_44
发表于 2015-4-30 02:16:04
看看学习
luqi_44
发表于 2015-4-30 08:46:51
下载要的权限高了些
sanyoo
发表于 2015-4-30 15:21:41
很牛叉的样纸
baggiowangyu
发表于 2015-5-4 09:01:35
看看
lily2997
发表于 2015-5-4 11:02:39
待我大号基础一定买VIP支持楼主
oksbsb
发表于 2015-5-4 16:12:10
楼主给力啊~!
irooky
发表于 2015-5-7 08:14:35
感谢楼主
upring
发表于 2015-5-9 15:24:47
谢谢 感谢\分享
andylau004
发表于 2015-5-12 23:21:46
啊 。。。赞一个
niuben493
发表于 2015-5-17 01:46:34
看看
upring
发表于 2015-5-17 22:41:32
看看就对了 代码非常好
masa168
发表于 2015-5-18 14:12:20
坐瓜的逗比哈哈
manezi
发表于 2015-5-23 04:50:04
谢谢分享~支持~
284406022
发表于 2015-5-25 09:59:14
没有权限下载源码,能不能贴出关键部分的代码? 另外我猜是不是通过 EProcess结构体成员实现的?
faraway
发表于 2015-5-25 19:41:19
学习一下
1haoyu
发表于 2015-6-1 23:34:34
学习一下!!!
qq295593362
发表于 2015-6-5 21:22:22
赞一个!
309100
发表于 2015-6-25 12:48:15
亲,,这个是源码吗..
309100
发表于 2015-6-25 13:01:07
没源码 好伤心...
crkey
发表于 2015-6-27 19:07:21
呵呵,难道是改PEB么
绿林科技
发表于 2015-7-9 06:37:52
谢谢大神分享