[推荐]发现一款软件，可以完美伪装进程路径??大家来逆向...-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 2 楼恐怖，伪装到连信息框图标都可以一样的?? 难道是通过什么方法插入到winlogon.exe中去运行了？上传的附件：未命名.jpg （10.62kb，126次下载） 2012-5-3 14:11 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 3 楼已经确认了并非插入了某一进程。可以看到信息框的进程ID信息还是原来的这个进程的ID。但是这个程序不管伪装成什么路径，就会得到什么样的图标，以及进程路径(Xuetr和任务管理器可以看出原路径)。到底怎么实现的。上传的附件：未命名.jpg （44.09kb，124次下载） 2012-5-3 14:51 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 4 楼 PEB.ProcessParameters UNICODE_STRING ImagePathName UNICODE_STRING CommandLine UNICODE_STRING WindowTitle 修改为"C:\WINDOWS\System32\winlogon.exe" PEB.LoaderData.InLoadOrderModuleList UNICODE_STRING FullDllName 同上修改 UNICODE_STRING BaseDllName 修改为"winlogon.exe" 2012-5-3 19:15 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 5 楼你要确定你逆向过这个程序了，如果逆向过肯定不止这么几个结果。这个程序的伪装可以绕过Hackshield的Inline Hook。HS的inline hook就是靠白名单放行的。而我自己写PEB伪装却绕不过。 2012-5-4 08:23 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 6 楼你说的五处，我全改过，无法绕过HackShield的Inline Hook。 ... 2012-5-4 08:25 0
李晓岚雪币： 2676 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	李晓岚 7 楼并不完美的！上传的附件： a.png （8.97kb，93次下载） 2012-5-4 09:22 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 8 楼 [QUOTE=李晓岚;1069358]并不完美的！ [/QUOTE] 请问，你这个是用什么软件查看的？ 2012-5-4 09:25 0
李大春雪币： 63 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	李大春 9 楼研究研究 2012-5-4 10:18 0
暗月之魂雪币： 53 活跃值： (523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 134 粉丝 0 关注私信	暗月之魂 10 楼目测 ProcessExplorer 2013-6-6 18:06 0
知乐君子雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	知乐君子 11 楼有那么厉害吗？ 2013-11-5 08:01 0
dengxm 雪币： 13 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	dengxm 12 楼似乎只是在XP下管用，win7 ，win7 x64，都不行了 2018-7-11 00:53 0
十年后不是你雪币： 256 活跃值： (382) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	十年后不是你 13 楼 win7测试不行路径改的不全啊 2020-8-12 17:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 2 楼恐怖，伪装到连信息框图标都可以一样的?? 难道是通过什么方法插入到winlogon.exe中去运行了？上传的附件：未命名.jpg （10.62kb，126次下载） 2012-5-3 14:11 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 3 楼已经确认了并非插入了某一进程。可以看到信息框的进程ID信息还是原来的这个进程的ID。但是这个程序不管伪装成什么路径，就会得到什么样的图标，以及进程路径(Xuetr和任务管理器可以看出原路径)。到底怎么实现的。上传的附件：未命名.jpg （44.09kb，124次下载） 2012-5-3 14:51 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 4 楼 PEB.ProcessParameters UNICODE_STRING ImagePathName UNICODE_STRING CommandLine UNICODE_STRING WindowTitle 修改为"C:\WINDOWS\System32\winlogon.exe" PEB.LoaderData.InLoadOrderModuleList UNICODE_STRING FullDllName 同上修改 UNICODE_STRING BaseDllName 修改为"winlogon.exe" 2012-5-3 19:15 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 5 楼你要确定你逆向过这个程序了，如果逆向过肯定不止这么几个结果。这个程序的伪装可以绕过Hackshield的Inline Hook。HS的inline hook就是靠白名单放行的。而我自己写PEB伪装却绕不过。 2012-5-4 08:23 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 6 楼你说的五处，我全改过，无法绕过HackShield的Inline Hook。 ... 2012-5-4 08:25 0
李晓岚雪币： 2676 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	李晓岚 7 楼并不完美的！上传的附件： a.png （8.97kb，93次下载） 2012-5-4 09:22 0
Himylive 雪币： 48 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 30 粉丝 0 关注私信	Himylive 8 楼 [QUOTE=李晓岚;1069358]并不完美的！ [/QUOTE] 请问，你这个是用什么软件查看的？ 2012-5-4 09:25 0
李大春雪币： 63 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	李大春 9 楼研究研究 2012-5-4 10:18 0
暗月之魂雪币： 53 活跃值： (523) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 134 粉丝 0 关注私信	暗月之魂 10 楼目测 ProcessExplorer 2013-6-6 18:06 0
知乐君子雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	知乐君子 11 楼有那么厉害吗？ 2013-11-5 08:01 0
dengxm 雪币： 13 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	dengxm 12 楼似乎只是在XP下管用，win7 ，win7 x64，都不行了 2018-7-11 00:53 0
十年后不是你雪币： 256 活跃值： (382) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	十年后不是你 13 楼 win7测试不行路径改的不全啊 2020-8-12 17:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [推荐]发现一款软件，可以完美伪装进程路径??大家来逆向... 0.00雪花