[超烂]检测傀儡进程

Tesla.Angela · 发表于 2010-11-14 18:16:44

通过对比主模块的基址判断是否为傀儡进程，只能在NT x86上工作，详情见源码。

马大哈 · 发表于 2010-11-20 20:31:25

上次遇到的那个被挖空填上木马的svchost.exe查死我了........

查到那个进程还是非常偶然的,用天琊发现那个进程是某个不正常的IE进程的父进程后,DUMP内存出来让陈辉看.

结果发现正常的内存应该是几十K左右,DUMP出来竟然有几百K,才发现是这个进程的问题.

后来才在服务里抓到了原本,那个服务启动后把这个SVCHOS.EXE挖空了填上木马,自己就停止运行,怪不得找不到....

有个扫描功能就非常方便了.

Tesla.Angela · 发表于 2010-11-21 09:39:25

回复马大哈的帖子

这个只是个demo，还不是个软件。
而且驱动里面NtTerminateProcess的地址是硬编码，理论上说在别人机器上运行就一定会蓝屏。
不过你可以叫陈辉帮你改一下嘛。

a627414850 · 发表于 2011-11-14 22:55:07

随时监测。。。浪费资源。。。。。。。。。{:soso_e140:}

kk1025 · 发表于 2013-4-9 22:20:36

看看先!

biiaidt · 发表于 2014-9-25 15:43:06

很有用

账号		自动登录	找回密码
密码			加入我们

[超烂]检测傀儡进程

评分

论坛牛人

贡献奖

关注奖

最佳版主

进步奖

人气王

疯狂作品奖

精英奖

赞助论坛勋章

乐于助人勋章