[技巧]使你的内核线程起始地址在NTOSKRNL范围内（仅WIN64）

Tesla.Angela · 发表于 2023-3-8 17:21:30

Theme: Let the starting address of your kernel thread locate in the NTOSKRNL image space.
Thema: Lass die Startadresse deines Kernel-Threads im Bereich des NTOSKRNL-Images lokalisieren.

隐藏内核线程还不触发PatchGuard是一个硬功夫，这对于那些需要长期驻留内存的后台程序尤其重要。下面介绍一个有点讨巧的办法，让你的内核线程起始地址在NTOSKRNL范围内，使得能够骗过部分对系统不了解，但又会使用ARK的人。

游客，如果您要查看本帖隐藏内容请回复

想用这个技巧骗过一些知名AV或者AC是不可能。借用电视剧里的一句话：“都是千年的狐狸了，还玩什么聊斋啊”。

iamasbcx · 发表于 2023-3-8 17:26:30

难得看到大佬更新

lpmjknj · 发表于 2023-3-8 19:27:24

学习一下

lizhuowu · 发表于 2023-3-9 09:04:23

使你的内核线程起始地址在NTOSKRNL范围内

2254649642 · 发表于 2023-3-9 17:30:42

必须支持

chenyuan · 发表于 2023-3-21 21:34:50

支持一下

蜜蜂 · 发表于 2023-3-27 14:20:22

谢谢分享

jasonyao · 发表于 2023-4-13 00:34:38

感谢分享！！！

Ast1rtes · 发表于 2023-4-28 16:14:30

感谢分享Tesla.Angela大大的分享

sheriwvg · 发表于 2023-5-10 17:28:39

感谢分享

zgs123 · 发表于 2023-5-11 06:12:00

那为什么骗不了ac

sanyoo · 发表于 2023-5-15 16:57:35

学习一下

HookSuccess · 发表于 2023-6-18 09:01:23

感谢分享

c9080 · 发表于 2023-6-23 11:54:42

感谢大佬技术分享

KPPeserH · 发表于 2023-6-23 20:44:55

顶，学习一下

Cloutain · 发表于 2023-6-28 09:35:59

来学习学习

codezhzy · 发表于 2023-7-3 22:56:35

学习一下!!!

HookSuccess · 发表于 2023-7-29 10:24:46

刚刚试了下 YDARK给标红了

Intel-小林同学 · 发表于 2023-7-30 19:40:35

学习一下

IBinary · 发表于 2023-8-16 10:11:55

都是千年的狐狸了，还玩什么聊斋啊

笨笨文 · 发表于 2023-8-22 17:04:27

看看谢谢楼主

omenfk · 发表于 2023-9-11 18:32:20

我来看看吧！！

goodluckwxl · 发表于 2023-10-8 11:24:35

老大旅游啥时候回国呢

376408384 · 发表于 2023-10-9 00:10:50

我来学习

chaos4 · 发表于 2023-10-12 21:34:57

我看看怎么个事儿

lusefei · 发表于 2023-10-17 13:25:17

赞谢谢分享

lai0301 · 发表于 2023-10-23 10:50:25

看看！！！！！！！

3477568823 · 发表于 2023-10-30 19:28:53

学习一手

委员长 · 发表于 2023-11-29 21:51:53

感谢分享

Undefined · 发表于 2024-2-16 09:10:38

回复查看，谢谢

85251201 · 发表于 2024-3-8 12:45:32

难得看到大佬更新

lzhlzhvip · 发表于 2024-3-15 12:04:20

感谢分享，学习一下~

账号		自动登录	找回密码
密码			加入我们

[技巧]使你的内核线程起始地址在NTOSKRNL范围内（仅WIN64）

点评