[已解决]过PG进程保护驱动,可以防止R3读内存,隐藏进程不蓝屏,非VT,有兴趣的大神研究指点下-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [已解决]过PG进程保护驱动,可以防止R3读内存,隐藏进程不蓝屏,非VT,有兴趣的大神研究指点下

发表于: 2020-7-28 06:03 15598

未解决 [已解决]过PG进程保护驱动,可以防止R3读内存,隐藏进程不蓝屏,非VT,有兴趣的大神研究指点下

lwbkanxue

2020-7-28 06:03

15598

有一驱动加载后,保护自身进程,把自己伪装成为系统进程,用户组不显示,
无法结束进程(提示内存位置不正确),无法暂停进程,无法用R3函数读内存.
电脑未开启VT环境,用普通CE无法读取内存,用驱动检测没有创建回调保护句柄,句柄依然可以获得,权限未改,
使用经过处理的CE发现Kernel32.dll的PE头内存有显示,其他Kernel32.dll位置内存全显示??,(以前听有人说过,现在真的看见了),应该是部分模块地址有经过处理.不知道是否和EPROCESS有关,是否有设置全局钩子(应该没有),总觉得和R3某些东西有关系,但我没找到思路.驱动有VMP加壳检测虚拟机,我还没能过检测做双机调试.
驱动这里就不上传,影响不好(需要找我拿)...如果大神愿意搞,有尝研究.

还有另一隐藏R3进程的驱动,R3函数无法枚举被保护的进程,非VT,检测非断链,查看系统函数没有被HOOK,只看了头,支持W7W10x64所有系统且不蓝屏....,有待研究...

驱动均有VMP加壳检测虚拟机调试.
以上两个驱动还不知道是否有过PG,按理应该是没有(因为发现所有内核函数都可以读取正确数值,只有R3的不可以).有待测试....

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2020-8-2 14:42 被lwbkanxue编辑，原因：过PG、HOOK技术。

收藏・5

免费・0

支持

最新回复 (16)
一半人生雪币： 2281 活跃值： (12804) 能力值： ( LV12，RANK：312 ) 在线值：发帖 27 回帖 391 粉丝 199 关注私信	一半人生 5 2 楼均有vmp，那就得真大佬去搞了 2020-7-28 08:14 0
万剑归宗雪币： 914 活跃值： (2553) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 3 楼样本发一下啊 2020-7-28 10:00 0
hzqst 雪币： 12857 活跃值： (9172) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 4 楼超强进程保护驱动?隐藏进程不蓝屏?有SKProtect内味儿了 2020-7-28 10:45 0
fengyunabc 雪币： 3785 活跃值： (3947) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 526 粉丝 26 关注私信	fengyunabc 1 5 楼发一下样本！ 2020-7-28 10:58 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 6 楼雪币不够，样本已发。 2020-7-28 11:41 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 7 楼 hzqst 超强进程保护驱动?隐藏进程不蓝屏?有SKProtect内味儿了不是SKProtect 那些低级东西，没有改PId什么的。 2020-7-28 11:43 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 8 楼 666 2020-7-28 11:46 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 268 关注私信	xiaofu 8 9 楼样本呢 2020-7-28 13:44 0
hzqst 雪币： 12857 活跃值： (9172) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 10 楼 lwbkanxue 不是SKProtect 那些低级东西，没有改PId什么的。 inlinehook 没啥意思，几分钟就被PG拿下了 2020-7-28 14:03 0
wonderzdh 雪币： 61 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 11 楼样本发来看看 2020-7-28 14:13 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 268 关注私信	xiaofu 8 12 楼过pg会蓝屏 inline hook OxxReferenceObjectByHandlexx 返回c0000005 2020-7-28 14:24 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 13 楼 xiaofu 样本呢 2号样本发大表哥了，我账号今天发不了信息了，我是没能下断，要是能就看到了，1号总是不稳定，我觉得也和PG有关系了。 2020-7-28 19:20 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 268 关注私信	xiaofu 8 14 楼另外一个样本: ifhook挂了一些函数最后于 2020-7-29 11:50 被xiaofu编辑，原因： 2020-7-29 11:47 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 15 楼感谢大佬们的提点帮助，为了答谢你们，可以在私信或哪里给个二维码什么的给你们转个大红包表示感谢！ 2020-7-29 14:35 0
quhuiq 雪币： 55 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	quhuiq 16 楼 xiaofu 过pg会蓝屏inline hook OxxReferenceObjectByHandlexx 返回c0000005     这是啥版本的 windbg? 2021-1-5 20:35 0
mb_tcheuwvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	mb_tcheuwvg 17 楼能私我一份研究一下吗 2023-4-26 18:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lwbkanxue

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
一半人生雪币： 2281 活跃值： (12804) 能力值： ( LV12，RANK：312 ) 在线值：发帖 27 回帖 391 粉丝 199 关注私信	一半人生 5 2 楼均有vmp，那就得真大佬去搞了 2020-7-28 08:14 0
万剑归宗雪币： 914 活跃值： (2553) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 3 楼样本发一下啊 2020-7-28 10:00 0
hzqst 雪币： 12857 活跃值： (9172) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 4 楼超强进程保护驱动?隐藏进程不蓝屏?有SKProtect内味儿了 2020-7-28 10:45 0
fengyunabc 雪币： 3785 活跃值： (3947) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 526 粉丝 26 关注私信	fengyunabc 1 5 楼发一下样本！ 2020-7-28 10:58 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 6 楼雪币不够，样本已发。 2020-7-28 11:41 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 7 楼 hzqst 超强进程保护驱动?隐藏进程不蓝屏?有SKProtect内味儿了不是SKProtect 那些低级东西，没有改PId什么的。 2020-7-28 11:43 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 8 楼 666 2020-7-28 11:46 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 268 关注私信	xiaofu 8 9 楼样本呢 2020-7-28 13:44 0
hzqst 雪币： 12857 活跃值： (9172) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 10 楼 lwbkanxue 不是SKProtect 那些低级东西，没有改PId什么的。 inlinehook 没啥意思，几分钟就被PG拿下了 2020-7-28 14:03 0
wonderzdh 雪币： 61 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 11 楼样本发来看看 2020-7-28 14:13 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 268 关注私信	xiaofu 8 12 楼过pg会蓝屏 inline hook OxxReferenceObjectByHandlexx 返回c0000005 2020-7-28 14:24 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 13 楼 xiaofu 样本呢 2号样本发大表哥了，我账号今天发不了信息了，我是没能下断，要是能就看到了，1号总是不稳定，我觉得也和PG有关系了。 2020-7-28 19:20 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 268 关注私信	xiaofu 8 14 楼另外一个样本: ifhook挂了一些函数最后于 2020-7-29 11:50 被xiaofu编辑，原因： 2020-7-29 11:47 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 15 楼感谢大佬们的提点帮助，为了答谢你们，可以在私信或哪里给个二维码什么的给你们转个大红包表示感谢！ 2020-7-29 14:35 0
quhuiq 雪币： 55 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	quhuiq 16 楼 xiaofu 过pg会蓝屏inline hook OxxReferenceObjectByHandlexx 返回c0000005     这是啥版本的 windbg? 2021-1-5 20:35 0
mb_tcheuwvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	mb_tcheuwvg 17 楼能私我一份研究一下吗 2023-4-26 18:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复