[思路]个人觉得比较好的隐藏进程/进程模块/内核模块的办法

Tesla.Angela

说到隐藏这些东西，很多人就是用抹除内核信息的办法，其实这是进了思维的死胡同，抹除内核信息不仅不稳定，而且还是能被检查出来，一旦被检查出来必以红色标注，等于脸上写了“我是RK”，得不偿失。
所以换个思路，无需欺骗ARK，欺骗ARK的使用者即可。
对于进程，要改掉进程名称，进程路径，用户名，改成SYSTEM用户名的svchost.exe即可。
对于进程模块，把LDR链里的路径改成一个有签名的/微软的DLL。
对于内核模块，同理，把把LDR链里的路径改成一个有签名的/微软的驱动。
当然，信息要改齐全了，否则还是没用。
如果要做绝点，就把HIPS/AV的Notify给删除。

---

如果你加载不了驱动，那就彻底算了吧。{:soso_e113:}

dico

谢谢两位大牛的思路，要是能附一些DEMO代码就更好了

Tesla.Angela

dico 发表于 2012-1-29 22:11
谢谢两位大牛的思路，要是能附一些DEMO代码就更好了

代码网上早就有了，自己稍加改造即可。

dico

Tesla.Angela 发表于 2012-1-30 18:52
代码网上早就有了，自己稍加改造即可。

可否给个链接？

mrkrcl

对于通过修改进程名，路径以及权限及所属用户，这种迷惑他人的方法确实不错，不过修改起来必须要改全，漏一个那就全OVER了，而且一般来说如果想进行后续的操作还是很难逃过ARK的扫描

对于模块采用有效签名的方式，不知道LZ有测试吗，貌似在XP上有点不好做，X64的话就不用说了，加载驱动都容易夭折 {:soso_e135:}

Tesla.Angela

mrkrcl 发表于 2012-2-1 15:05
对于通过修改进程名，路径以及权限及所属用户，这种迷惑他人的方法确实不错，不过修改起来必须要改全，漏一 ...

“对于模块采用有效签名的方式”

这话好像不是我的意思吧，我是说Name.buffer随便填写一个有签名的驱动名字，不是说驱动自身要有签名。
至于如何在WIN64上加载驱动，请看WIN64底层区的帖子。

mrkrcl

Tesla.Angela 发表于 2012-2-1 15:25
这话好像不是我的意思吧，我是说Name.buffer随便填写一个有签名的驱动名字，不是说驱动自身要有签名。
...

悲剧哈，理解错了LZ得意思，以为你要伪造签名呢，不过直接填充buffer，仅仅这一个应该是实现不了LZ所要达到的目的的
64位驱动加载，习惯了伪签名，LZ推荐的64位下加载驱动，最早在UNPACK看过，后来也在fyyre的个人主页找到源码确实很强大，不过对于发行版的驱动来说，还是签名来的可靠点

呵呵，学习了 :)

ps:Fyyre牛姐自己写的这种64位下加载驱动的方法，貌似其本人也是很不推荐使用的~  最后膜拜下大牛~

Tesla.Angela

mrkrcl 发表于 2012-2-1 20:41
悲剧哈，理解错了LZ得意思，以为你要伪造签名呢，不过直接填充buffer，仅仅这一个应该是实现不了LZ所要达 ...

是么？Fyyre牛姐不推荐使用这种方法？！
我刚才上了一下fyyre的主页，发现她发了个支持win8的PG破解工具！！！
可惜此工具不再能破解DS，以后只能用“测试签名”模式+驱动测试签名了。

mrkrcl

Tesla.Angela 发表于 2012-2-4 11:16
是么？Fyyre牛姐不推荐使用这种方法？！
我刚才上了一下fyyre的主页，发现她发了个支持win8的PG破解工具 ...

我不知道现在该XX是否有更新，是否趋于稳定了，早期版fyyre是不推荐使用的，这个在kernelinfo有过讨论的
ps:一直奔跑在32位XX上表示对WIN8，64B无奈~  {:soso_e135:}