tangptr@126.com
发表于 2016-11-21 22:21:19
TP的装逼笔记:伪装创建进程通告例程回调地址欺骗PCHunter
本帖最后由 tangptr@126.com 于 2016-11-21 22:21 编辑
用PsSetCreateProcessNotifyRoutine创建了回调例程之后,PCHunter会检测到你的回调以及你的所属驱动。如果这个驱动明显不属于系统驱动,ARK的使用者会直接把你的回调Remove掉。如果这个回调地址是一个正常的驱动的地址,比如ntkrnlpa.exe的地址,没有经验的用户会不疑有他直接忽略掉。
具体实现方法回复后可见
**** Hidden Message *****
Tesla.Angela
发表于 2016-11-21 23:40:13
其实PCH扫描内核钩子有BUG,略施小计就可以让PCH看不到内核钩子(而且不影响PCH的其它功能)。
rtfkill
发表于 2016-11-21 23:57:20
好东西啊,,装B我喜欢
tangptr@126.com
发表于 2016-11-21 23:57:40
更新了个装逼版的,加了VMP的壳,使得PCH查到的钩子是乱七八糟的,连跳到哪都不知道嘿嘿嘿
liwen930723
发表于 2016-11-22 11:20:09
这个其实很实用的哟 我在群上看到你过来看的
goodluckwxl
发表于 2016-11-23 03:05:47
谢谢哦, 值得学习一下
1171320344
发表于 2016-11-25 12:41:31
哦,这样也可以
kz丶cn
发表于 2016-11-29 19:44:33
都想搞PCHunter和安软 哈哈
zjr230506
发表于 2016-11-30 05:22:52
害怕.jpg
46785131
发表于 2017-2-11 19:39:10
这个方法不错哟。!~
3207145141
发表于 2017-2-12 08:45:50
学习一下.
hamman
发表于 2017-7-3 11:37:49
来涨姿势了。谢谢楼主!
落笔飞花
发表于 2017-7-3 15:44:07
看看~~~~~~~~
ayamat
发表于 2017-8-6 16:03:41
看看。。。很好奇
黄枫叶
发表于 2017-8-12 23:01:55
谢谢哦, 值得学习一下
n36437517
发表于 2017-8-25 19:34:23
学习新的知识,谢谢分享
zt8152070
发表于 2017-8-29 08:47:05
TP的装逼笔记:伪装创建进程通告例程回调地址欺骗PCHunter [修改]
as3852711
发表于 2017-10-24 12:54:09
看下什么方法
hanfengyuxue
发表于 2017-11-1 14:47:31
不回帖是一种很欠扁的行为,很赞成!
daniellee
发表于 2017-11-16 17:26:26
谢谢哦, 值得学习一下
chaos4
发表于 2017-11-30 01:05:32
这个必须要看看了..伪装回调
aki447
发表于 2017-12-19 21:51:34
看看是怎么实现的
mmlai8
发表于 2018-2-12 04:49:34
这个方法不错哟。!~
hantao
发表于 2018-2-28 12:27:53
看看他究竟是怎么装逼的。
sc12345
发表于 2018-4-10 17:29:58
谢谢分享
163xlt
发表于 2018-4-12 10:16:59
看看这个老帖啊
zouxiaofei
发表于 2018-5-6 15:57:09
谢谢分享
309100
发表于 2018-6-17 01:34:25
正好需要看看方法
testid
发表于 2018-6-28 21:52:36
这应该是个实用的技术.
YOUBADBAD
发表于 2018-6-29 16:46:28
谢谢楼主
shonker
发表于 2018-10-5 14:15:23
学习学习
月儿弯弯
发表于 2018-10-6 00:06:23
厉害厉害