设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [原创开源]“隐藏”你的内核线程
返回列表 发新帖
查看: 15243|回复: 12

[原创开源]“隐藏”你的内核线程

  [复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2013-8-22 09:23:51 | 显示全部楼层 |阅读模式
效果如图所示:明明是自己的内核线程,XT却显示在ntos模块里。
Untitled.png
秘密就在代码里。此方式同样适用于WIN64,不过代码要稍作修改。
PS1:不是坑爹的shellcode方式。
PS2:今天为某人祈福,就不设阅读权限和水晶币了。

hide_kernel_thread.rar

5.2 KB, 下载次数: 8024

BIN+SRC
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

jzy1115

0

主题

117

回帖

0

精华

铜牌会员

积分
258
发表于 2013-8-22 11:00:52 | 显示全部楼层
知道原理了,不过为什么在KeBugCheckEx前边呢,自己申请内存不行么
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2013-8-22 11:46:30 | 显示全部楼层
jzy1115 发表于 2013-8-22 11:00
知道原理了,不过为什么在KeBugCheckEx前边呢,自己申请内存不行么

自己申请内存的话,地址就不在NTOS的范围里了,亲!
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

jzy1115

0

主题

117

回帖

0

精华

铜牌会员

积分
258
发表于 2013-8-22 16:09:49 | 显示全部楼层
忘了{:soso_e127:},的确不能自己申请
回复

举报

qqlinhai

0

主题

11

回帖

0

精华

铜牌会员

积分
184
发表于 2013-8-22 19:29:10 | 显示全部楼层
感谢某人{:soso_e113:}、感谢楼主,先回帖再看代码。
回复

举报

weimjsam

0

主题

4

回帖

0

精华

铜牌会员

积分
46
发表于 2013-9-2 09:45:17 | 显示全部楼层
多谢LZ分享
回复

举报

x64asm

1

主题

39

回帖

0

精华

铜牌会员

积分
299
发表于 2014-5-17 15:50:06 | 显示全部楼层
你这种方式兼容性不好,会触发内核修补保护,我现在使用的方式不需要使用汇编指令进行中转。C语言层面三行代码就能搞定。
回复

举报

wqs3568

0

主题

23

回帖

0

精华

铜牌会员

积分
82
发表于 2014-8-6 17:15:56 | 显示全部楼层
看来病毒又要泛滥了
回复

举报

azi6691

1

主题

7

回帖

0

精华

初来乍到

积分
14
发表于 2014-8-28 12:01:44 | 显示全部楼层
x64asm 发表于 2014-5-17 15:50
你这种方式兼容性不好,会触发内核修补保护,我现在使用的方式不需要使用汇编指令进行中转。C语言层面三行 ...

哪三行?
回复

举报

sku__

0

主题

68

回帖

0

精华

铜牌会员

积分
94
发表于 2015-1-8 08:29:04 | 显示全部楼层
谢谢分享
回复

举报

陌路人

8

主题

69

回帖

2

精华

钻石会员

积分
3279
发表于 2015-4-19 21:00:51 | 显示全部楼层
学习了
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-4-23 19:39:58 | 显示全部楼层
看一下哈
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-4-25 12:17:13 | 显示全部楼层
对大侠 真是ORG
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表