Ring3 Hook EnumServiceStatus,方便易用,可以在驱动层调用TA的内核APC来强制注入DLL到360的进程里http://www.m5home.com/bbs/thread-8667-1-3.html tangptr@126.com 发表于 2016-5-4 12:52
你的内容我懒得看了,不过我就告诉你一条非常简单的路:
Ring3 Hook EnumServiceStatus,方便易用,可以在 ...
兄弟,你为何这么吊?
360 好像没有用EnumServiceStatus tangptr@126.com 发表于 2016-5-4 12:52
你的内容我懒得看了,不过我就告诉你一条非常简单的路:
Ring3 Hook EnumServiceStatus,方便易用,可以在 ...
哥子,那个是poc啊
无代码啊 本帖最后由 tangptr@126.com 于 2016-5-4 15:49 编辑
xtfpg 发表于 2016-5-4 14:53
哥子,那个是poc啊
无代码啊
service.exe内部有一条链表,摘掉它也可以实现隐藏服务,百度一下就有了。另外注册表也有相应的记录,位于HKLM\SYSTEM\CurrentControlSet\Service里,无论Ring3 Hook/SSDT Hook/Object Hook还是过滤驱动都可以隐藏键
此外你自己也可以写代码啊,插APC用KeInsertQueueApc,加载DLL用IoCreateFile+MmCreateSection顺带可以清理一下Hook和回调 tangptr@126.com 发表于 2016-5-4 15:47
service.exe内部有一条链表,摘掉它也可以实现隐藏服务,百度一下就有了。另外注册表也有相应的记录,位 ...
service.exe那个修改那个链表,网上的代码我看到了,虽然多,但是都是同一份
关于服务注册表那块我写好了。
你后面那个说插APC,清理一下HOOK和回调,我是没看懂哦,不晓得你想干嘛! xtfpg 发表于 2016-5-4 15:58
service.exe那个修改那个链表,网上的代码我看到了,虽然多,但是都是同一份
关于服务注册表那块我写好 ...
我的意思是如果你想注入DLL,那你就照我说的做就行 感觉这个不太可能。
主要原因是服务肯定需要登记在注册表里,别人枚举注册表即可(如果360能被HOOK或者回调的方式拦截到访问注册表,那他们这么多年算白干了)。回调不说了,绕过太简单;HOOK的话,无论你HOOK多深,直接RELOAD一下内核,就绕过你所有的HOOK了。
页:
[1]