-
-
[原创] 简单的应用层进程隐藏
-
发表于: 2024-9-10 14:15
-
众所周知,我们在使用电脑的过程中,经常会被某些恶意软件上传文件,侵犯个人隐私。
为此众多安全研究人员开发了各种对抗方案。
包括但不限于:
- 改peb,ldr,eprocess
- 句柄降权
- ssdt hook
大部分依赖于驱动去修改内核对象,那么有没有更简单快捷而且稳定不蓝屏的方案呢?
版本答案 movefile
我们知道,windows经过众多版本的阿三迭代,代码已经成了一坨屎,bug数不胜数,同时解决bug最好的办法不是修复,而是加一层if else 不让用户触发。
比如:当我们新建一个名字含有. 的文件夹时,会马上被explore阻止。
于是,我们来加一点点特技
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 | void check_path(string path) { cout << "check_path: "<<path<<" , result: " << PathFileExistsA(path.c_str()) << endl;}int main() { char buf[MAX_PATH]; GetModuleFileName(NULL, buf, ARRAYSIZE(buf)); string cur_path = buf; cout << "cur_path: " << cur_path << endl; check_path(cur_path); HMODULE base = GetModuleHandle("mov2.exe"); cout << "base: " << base << endl; SECURITY_ATTRIBUTES sec = { 0 }; BOOL ret = CreateDirectory("C:\\Users\\root\\AppData\\Local\\Temp\\1234567", &sec); cout << ret << endl; ret = CreateDirectory("C:\\Users\\root\\AppData\\Local\\Temp\\1234567\\....\\", &sec); cout << ret << endl; ret = MoveFile(cur_path.c_str(), "C:\\Users\\root\\AppData\\Local\\Temp\\1234567\\....\\Temp"); cout << ret << endl; ret = MoveFile("C:\\Users\\root\\AppData\\Local\\Temp\\1234567\\....\\", "C:\\Users\\root\\AppData\\Local\\Temp\\1234567\\Temp"); cout << ret << endl; cout << "------------check path 1 -----------" << endl; GetModuleFileName(NULL, buf, ARRAYSIZE(buf)); cur_path = buf; cout << "cur_path: " << cur_path << endl; check_path(cur_path); cout << "------------check path 2 -----------" << endl; GetModuleFileNameEx(GetCurrentProcess(), NULL, buf, ARRAYSIZE(buf)); cur_path = buf; cout << "cur_path: " << cur_path << endl; check_path(cur_path); cout << "------------check path 3 -----------" << endl; char buf3[1024] = { 0 }; SIZE_T size = 1024; NtQueryVirtualMemory(GetCurrentProcess(), base, 2, buf3, size, &size); UNICODE_STRING* us_str = (UNICODE_STRING*)buf3; wcout << L"cur_path: " << us_str->Buffer << endl; return 0;} |
cur_path: C:\Users\root\Desktop\mov2.exe
check_path: C:\Users\root\Desktop\mov2.exe , result: 1
base: 00007FF6B6680000
1
1
1
1
------------check path 1 -----------
cur_path: C:\Users\root\Desktop\mov2.exe
check_path: C:\Users\root\Desktop\mov2.exe , result: 0
------------check path 2 -----------
cur_path: C:\Users\root\AppData\Local\Temp\1234567....\Temp
check_path: C:\Users\root\AppData\Local\Temp\1234567....\Temp , result: 0
------------check path 3 -----------
cur_path: \Device\HarddiskVolume4\Users\root\AppData\Local\Temp\1234567....\Temp
最后
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
纯r3强删不了吧 |
|
|
牛逼 魔幻
|
|
|
|
|
|
|
|
|
|
|
|
不需要管理员权限 |
|
|
|
|
|
同盘符就可以,你在其他盘可以不move到temp目录 |
|
|
模式调试 是无效果的 至少在我电脑上是这样的 |
|
|
|
