能力值:
( LV2,RANK:10 )
|
-
-
2 楼
````````````````````
|
能力值:
( LV12,RANK:600 )
|
-
-
3 楼
汗.........怎么没隐藏啊...都看到拉.???????.....没有reload...????
俺下面这段代码就可以检测.....
for (i=0;i<0x7fffffff;i=i+0x10000)
{
ZwQueryVirtualMemory(hProcess,(PVOID)i,MemorySectionName,out_data,STR_LENGTH,&retLength);
if(!IsBadReadPtr((BYTE*)out_data->SectionFileName.Buffer,1))
if(((BYTE*)out_data->SectionFileName.Buffer)[0]==0x5c)
{
if(wcscmp(wstr, out_data->SectionFileName.Buffer))
{
_wsetlocale(LC_ALL,L"chs");
printf("0x%08x %ws\n",i,out_data->SectionFileName.Buffer);
}
wcscpy(wstr, out_data->SectionFileName.Buffer);
}
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
都说了是过IceSword嘛```````
利用的是IS检测隐藏进程时的一个漏洞`
下面是我测试时候的图,我把dll注入到winlogon.exe中
先设置IS显示Deleting的进程
开完虚拟机共有这么多个进程,其中Winlogon.exe的PID是488
把Dll注入到Winlogon.exe当中后刷新就得到下面的效果
让IS不显示Deleting的进程,刷新后就是下面的效果
在IS中winlogon.exe已经显示不出来了
|
|
|