首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]大隐隐于市(隐藏进程)
发表于: 2007-5-14 17:44 9333

[原创]大隐隐于市(隐藏进程)

NaX 活跃值
2007-5-14 17:44
9333
目前隐藏进程的方法多如牛毛 但能真正完全避开rootkit检测工具检测的不多。所以这里的程序并没有隐藏,只是做了一点点伪装。呵呵,跟Rootkit Unhooker开了个玩笑!
ring3 修改 Peb->ldr->InLoadOrderModuleList
ring0 修改 EProcess->SectionObject,EProcess->ImageFileName
驱动文件在资源里。很简单,没什么好说!
不要在非XP SP2 系统运行本程序

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (7)
Losyz
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
放源码才是硬道理
2007-5-14 18:01
0
NaX
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
NaX
3
用IDA打开就相当于看源码了,特别是驱动文件
2007-5-14 18:08
0
4st0ne
雪    币: 488
活跃值: (2749)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
4
用任务管理器,IceSword都能看到啊..xp-sp2-en
啥意思..
2007-5-14 19:10
0
雪小盾牌
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
进程关了之后去那了?找不出来,通过工具也分析不出来!到那了????????
2007-5-14 20:25
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
那还不如远程注入,起码不存在兼容性
2007-5-15 07:32
0
NaX
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
NaX
7
进程并没有隐藏,只不过修改了模块路径名,用ZwQuerySystemInformation查该进程的路径是在系统目录,跟系统本身的SVCHOST.EXE一样!用Rootkit Unhooker查看也是一样结果,因为COPY了真正SVCHOST.EXE的SectionObject,Rootkit Unhooker也是一样拿到错误的结果!冰刃下没试过!
2007-5-15 08:31
0
NaX
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
NaX
8
鸡蛋壳大侠高见,不过这里只是开个玩笑 不要当真!
2007-5-15 08:38
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//