Tesla.Angela
发表于 2023-3-8 17:21:30
[技巧]使你的内核线程起始地址在NTOSKRNL范围内(仅WIN64)
Theme: Let the starting address of your kernel thread locate in the NTOSKRNL image space.
Thema: Lass die Startadresse deines Kernel-Threads im Bereich des NTOSKRNL-Images lokalisieren.
隐藏内核线程还不触发PatchGuard是一个硬功夫,这对于那些需要长期驻留内存的后台程序尤其重要。下面介绍一个有点讨巧的办法,让你的内核线程起始地址在NTOSKRNL范围内,使得能够骗过部分对系统不了解,但又会使用ARK的人。
**** Hidden Message *****想用这个技巧骗过一些知名AV或者AC是不可能。借用电视剧里的一句话:“都是千年的狐狸了,还玩什么聊斋啊”。
iamasbcx
发表于 2023-3-8 17:26:30
难得看到大佬更新
lpmjknj
发表于 2023-3-8 19:27:24
学习一下
lizhuowu
发表于 2023-3-9 09:04:23
使你的内核线程起始地址在NTOSKRNL范围内
2254649642
发表于 2023-3-9 17:30:42
必须支持
chenyuan
发表于 2023-3-21 21:34:50
支持一下
蜜蜂
发表于 2023-3-27 14:20:22
谢谢分享
jasonyao
发表于 2023-4-13 00:34:38
感谢分享!!!
Ast1rtes
发表于 2023-4-28 16:14:30
感谢分享Tesla.Angela大大的分享
sheriwvg
发表于 2023-5-10 17:28:39
感谢分享
zgs123
发表于 2023-5-11 06:12:00
那为什么骗不了ac
sanyoo
发表于 2023-5-15 16:57:35
学习一下
HookSuccess
发表于 2023-6-18 09:01:23
感谢分享
c9080
发表于 2023-6-23 11:54:42
感谢大佬技术分享
KPPeserH
发表于 2023-6-23 20:44:55
顶,学习一下
Cloutain
发表于 2023-6-28 09:35:59
来学习学习
codezhzy
发表于 2023-7-3 22:56:35
学习一下!!!
HookSuccess
发表于 2023-7-29 10:24:46
刚刚试了下 YDARK给标红了
Intel-小林同学
发表于 2023-7-30 19:40:35
学习一下
IBinary
发表于 2023-8-16 10:11:55
都是千年的狐狸了,还玩什么聊斋啊
笨笨文
发表于 2023-8-22 17:04:27
看看谢谢楼主
omenfk
发表于 2023-9-11 18:32:20
我来看看吧!!
goodluckwxl
发表于 2023-10-8 11:24:35
老大旅游啥时候回国呢
376408384
发表于 2023-10-9 00:10:50
我来学习
chaos4
发表于 2023-10-12 21:34:57
我看看怎么个事儿
lusefei
发表于 2023-10-17 13:25:17
赞 谢谢分享
lai0301
发表于 2023-10-23 10:50:25
看看!!!!!!!
3477568823
发表于 2023-10-30 19:28:53
学习一手
委员长
发表于 2023-11-29 21:51:53
感谢分享
Undefined
发表于 2024-2-16 09:10:38
回复查看,谢谢
85251201
发表于 2024-3-8 12:45:32
难得看到大佬更新
lzhlzhvip
发表于 2024-3-15 12:04:20
感谢分享,学习一下~