-
-
[分享]FishPE 1.01加壳工具
-
发表于: 2007-4-30 23:48
-
作者:HellFish
强度简单介绍:
OD无法附加,ICE 会出错。OD直接运行会很有趣。各位多试试吧
至于恢复SSDT什么的,如果驱动被搞。系统会蓝,如果SSDT被恢复,进程无法运行
SDK - 恩,这个版本没带必须的 dcu obj ,不能用的。有需要可以联系我
真实名称 ZwCreateProcessEx 所有的WINNT程序都是由这个函数创建
驱动提供 RealCreate 绕过所有检查直接启动程序,并让程序以SYSTEM权限运行
真实名称 ZwOpenProcess 打开进程获得操作句柄
驱动提供 RealOpen 绕过所有检查打开进程,比如什么防外挂。反木马,杀毒软件之流
用RealOpen打开的handle也不会被检查到
真实名称 ZwWriteVirtualMemory 未公开的内核函数,写任何进程内存
驱动提供 RealWrite
真实名称 ZwReadVirtualMemory 未公开的内核函数,读任何进程内存
驱动提供 RealRead
真实名称 ZwQueryVirtualMemory 查询内存状态
驱动提供 RealQuery
真实名称 ZwProtectVirtualMemory 修改内存状态
驱动提供 RealProtect
真实名称 ZwQuerySystemInformation 查询任何信息,服务,驱动,线程,句柄,钩子,等
驱动提供 RealQuerySys
驱动特别提供 GetFunctionAddr 取得 Zwxxx 的内核函数的真实地址,饶开SSDT干扰
图
下载地址:http://www.live-share.com/files/214744/FishPE.rar.html
强度简单介绍:
OD无法附加,ICE 会出错。OD直接运行会很有趣。各位多试试吧
至于恢复SSDT什么的,如果驱动被搞。系统会蓝,如果SSDT被恢复,进程无法运行
SDK - 恩,这个版本没带必须的 dcu obj ,不能用的。有需要可以联系我
真实名称 ZwCreateProcessEx 所有的WINNT程序都是由这个函数创建
驱动提供 RealCreate 绕过所有检查直接启动程序,并让程序以SYSTEM权限运行
真实名称 ZwOpenProcess 打开进程获得操作句柄
驱动提供 RealOpen 绕过所有检查打开进程,比如什么防外挂。反木马,杀毒软件之流
用RealOpen打开的handle也不会被检查到
真实名称 ZwWriteVirtualMemory 未公开的内核函数,写任何进程内存
驱动提供 RealWrite
真实名称 ZwReadVirtualMemory 未公开的内核函数,读任何进程内存
驱动提供 RealRead
真实名称 ZwQueryVirtualMemory 查询内存状态
驱动提供 RealQuery
真实名称 ZwProtectVirtualMemory 修改内存状态
驱动提供 RealProtect
真实名称 ZwQuerySystemInformation 查询任何信息,服务,驱动,线程,句柄,钩子,等
驱动提供 RealQuerySys
驱动特别提供 GetFunctionAddr 取得 Zwxxx 的内核函数的真实地址,饶开SSDT干扰
图
下载地址:http://www.live-share.com/files/214744/FishPE.rar.html
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
过他加过壳的工具全被卡巴报毒...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
不小心用这个给记事本加了个壳,结果机子上notepad.exe全部消失。。郁闷中。。
|
|
|
被驱动隐藏了?
运行被加壳的notepad.exe后就消失了,重启后又跑出来了
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
