|
|
作者:Tesla.Angela
经常有人想通过隐藏进程的方法隐藏外挂。其实隐藏进程不如修改进程信息。
下面说一下ARK都是从哪里获取进程名和进程路径的。基本上来说就是以下9条线:
1.EPROCESS->ImageFileName(进程名)
2.EPROCESS->SeAuditProcessCreationInfo->ImageFileName
3.EPROCESS->SectionObject->Segment->ControlArea->FilePointer->FileName
4.EPROCESS->PEB->ProcessParameters->ImagePathName
5.EPROCESS->PEB->ProcessParameters->CommandLine
6.EPROCESS->PEB->ProcessParameters->WindowTitle(快捷方式)
7.EPROCESS->PEB->Ldr->InLoadOrderLinks->FullDllName
8.EPROCESS->PEB->Ldr->InLoadOrderLinks->BaseDllName(进程名)
9.EPROCESS->PEB->Ldr->InMemoryOrderLinks->FullDllName(进程名)
其实还有一个从EPROCESS->VADRoot->RightChild->ControlArea->FilePointer->FileName获取路径的方法。
但因为这里面的ControlArea和方法3的ControlArea是同一个,所以可以忽略了。
此外,方法3中获取ControlArea的值有点特殊,请务必注意下面的WINDBG演示。
友情提示:如果把这些数据全部改掉,那么基本上可以过各种ARK。
以下演示基于WINXP,其他系统大同小异。
|
|
发表于 2014-6-6 17:29:29
发表于 2014-9-28 16:00:20
