[分享][分享]发一个简单的可以过ICESWORD的Dll-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 2 楼 ```````````````````` 2008-6-9 23:16 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 3 楼汗.........怎么没隐藏啊...都看到拉.???????.....没有reload...???? 俺下面这段代码就可以检测..... for (i=0;i<0x7fffffff;i=i+0x10000) { ZwQueryVirtualMemory(hProcess,(PVOID)i,MemorySectionName,out_data,STR_LENGTH,&retLength); if(!IsBadReadPtr((BYTE)out_data->SectionFileName.Buffer,1)) if(((BYTE)out_data->SectionFileName.Buffer)[0]==0x5c) { if(wcscmp(wstr, out_data->SectionFileName.Buffer)) { _wsetlocale(LC_ALL,L"chs"); printf("0x%08x %ws\n",i,out_data->SectionFileName.Buffer); } wcscpy(wstr, out_data->SectionFileName.Buffer); } 2008-6-10 10:39 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 4 楼都说了是过IceSword嘛``````` 利用的是IS检测隐藏进程时的一个漏洞` 下面是我测试时候的图，我把dll注入到winlogon.exe中先设置IS显示Deleting的进程开完虚拟机共有这么多个进程，其中Winlogon.exe的PID是488 把Dll注入到Winlogon.exe当中后刷新就得到下面的效果让IS不显示Deleting的进程,刷新后就是下面的效果在IS中winlogon.exe已经显示不出来了 2008-6-10 20:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 2 楼 ```````````````````` 2008-6-9 23:16 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 3 楼汗.........怎么没隐藏啊...都看到拉.???????.....没有reload...???? 俺下面这段代码就可以检测..... for (i=0;i<0x7fffffff;i=i+0x10000) { ZwQueryVirtualMemory(hProcess,(PVOID)i,MemorySectionName,out_data,STR_LENGTH,&retLength); if(!IsBadReadPtr((BYTE)out_data->SectionFileName.Buffer,1)) if(((BYTE)out_data->SectionFileName.Buffer)[0]==0x5c) { if(wcscmp(wstr, out_data->SectionFileName.Buffer)) { _wsetlocale(LC_ALL,L"chs"); printf("0x%08x %ws\n",i,out_data->SectionFileName.Buffer); } wcscpy(wstr, out_data->SectionFileName.Buffer); } 2008-6-10 10:39 0
TGOS 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	TGOS 4 楼都说了是过IceSword嘛``````` 利用的是IS检测隐藏进程时的一个漏洞` 下面是我测试时候的图，我把dll注入到winlogon.exe中先设置IS显示Deleting的进程开完虚拟机共有这么多个进程，其中Winlogon.exe的PID是488 把Dll注入到Winlogon.exe当中后刷新就得到下面的效果让IS不显示Deleting的进程,刷新后就是下面的效果在IS中winlogon.exe已经显示不出来了 2008-6-10 20:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复