不想让360检测到我的服务

xtfpg · 发表于 2016-5-4 12:03:54

购买主题本主题需向作者支付 20 水晶币 才能浏览

tangptr@126.com · 发表于 2016-5-4 12:52:05

你的内容我懒得看了，不过我就告诉你一条非常简单的路：
Ring3 Hook EnumServiceStatus，方便易用，可以在驱动层调用TA的内核APC来强制注入DLL到360的进程里http://www.m5home.com/bbs/thread-8667-1-3.html

xtfpg · 发表于 2016-5-4 14:51:03

tangptr@126.com 发表于 2016-5-4 12:52
你的内容我懒得看了，不过我就告诉你一条非常简单的路：
Ring3 Hook EnumServiceStatus，方便易用，可以在 ...

兄弟，你为何这么吊？

360 好像没有用EnumServiceStatus

xtfpg · 发表于 2016-5-4 14:53:21

tangptr@126.com 发表于 2016-5-4 12:52
你的内容我懒得看了，不过我就告诉你一条非常简单的路：
Ring3 Hook EnumServiceStatus，方便易用，可以在 ...

哥子，那个是poc啊
无代码啊

tangptr@126.com · 发表于 2016-5-4 15:47:42

本帖最后由 tangptr@126.com 于 2016-5-4 15:49 编辑

xtfpg 发表于 2016-5-4 14:53
哥子，那个是poc啊
无代码啊

service.exe内部有一条链表，摘掉它也可以实现隐藏服务，百度一下就有了。另外注册表也有相应的记录，位于HKLM\SYSTEM\CurrentControlSet\Service里，无论Ring3 Hook/SSDT Hook/Object Hook还是过滤驱动都可以隐藏键
此外你自己也可以写代码啊，插APC用KeInsertQueueApc，加载DLL用IoCreateFile+MmCreateSection顺带可以清理一下Hook和回调

xtfpg · 发表于 2016-5-4 15:58:39

tangptr@126.com 发表于 2016-5-4 15:47
service.exe内部有一条链表，摘掉它也可以实现隐藏服务，百度一下就有了。另外注册表也有相应的记录，位 ...

service.exe那个修改那个链表，网上的代码我看到了，虽然多，但是都是同一份

关于服务注册表那块我写好了。

你后面那个说插APC，清理一下HOOK和回调，我是没看懂哦，不晓得你想干嘛！

tangptr@126.com · 发表于 2016-5-4 16:44:26

xtfpg 发表于 2016-5-4 15:58
service.exe那个修改那个链表，网上的代码我看到了，虽然多，但是都是同一份

关于服务注册表那块我写好 ...

我的意思是如果你想注入DLL，那你就照我说的做就行

Tesla.Angela · 发表于 2016-5-4 17:54:43

感觉这个不太可能。
主要原因是服务肯定需要登记在注册表里，别人枚举注册表即可（如果360能被HOOK或者回调的方式拦截到访问注册表，那他们这么多年算白干了）。回调不说了，绕过太简单；HOOK的话，无论你HOOK多深，直接RELOAD一下内核，就绕过你所有的HOOK了。

账号		自动登录	找回密码
密码			加入我们