能力值:
( LV5,RANK:60 )
|
-
-
2 楼
不错不错
|
能力值:
( LV12,RANK:760 )
|
-
-
3 楼
ZwQueryXXX就出来真名了~~
|
能力值:
( LV9,RANK:610 )
|
-
-
4 楼
老V现身了~
|
能力值:
( LV9,RANK:610 )
|
-
-
5 楼
恩,骗了好多工具,就是过不了IS的ZwQueryVXXX
|
能力值:
( LV5,RANK:60 )
|
-
-
6 楼
不错不错
|
能力值:
( LV12,RANK:1010 )
|
-
-
7 楼
谢谢分享,喜欢这样有摸索精神的小朋友
|
能力值:
( LV9,RANK:610 )
|
-
-
8 楼
大米觉得我的代码风格怎么样?
|
能力值:
( LV8,RANK:130 )
|
-
-
9 楼
|
能力值:
( LV9,RANK:610 )
|
-
-
10 楼
lkd> dt _EPROCESS
nt!_EPROCESS
+0x000 Pcb : _KPROCESS
+0x06c ProcessLock : _EX_PUSH_LOCK
+0x070 CreateTime : _LARGE_INTEGER
...
+0x11c VadRoot : Ptr32 Void
+0x120 VadHint : Ptr32 Void
是这个吗?好像是二叉树?
|
能力值:
( LV8,RANK:130 )
|
-
-
11 楼
嗯是的。
可以隐藏,也可以修改。
http://bbs.pediy.com/showthread.php?t=66886
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
以后看啊先标记一下
|
能力值:
( LV13,RANK:330 )
|
-
-
13 楼
没想过要隐藏DLL,学习了...
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
不知道LZ有没试过在ring0下改其它进程的PEB,是行不通的。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
这个方法好像不错!
|
能力值:
( LV9,RANK:610 )
|
-
-
16 楼
还没试过,为什么行不通?
KeAttachProcess/KeStackAttackProcess切换到指定进程,然后修改不行吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
KeAttachProcess以后,
__asm{
mov eax,fs:[0x124] //ETHREAD
mov eax, [eax+44] //EPROCESS
mov eax, [eax+0x1B0]//peb
mov peb, eax
}
我随便写得,你试一下,我当初也是想KeAttachProcess/KeStackAttackProcess切换到指定进程,然后挂了。。这种方法连PEB都读不出
不用这种方法,直接PsLookupProces**yProcessId得到EPROCESS,然后找PEB,
这种方法可以读出PEB,但是在想读ldr就挂了,不解中。。。。。。
郁闷,等待高手解惑ing......
http://hi.baidu.com/hljleo/blog/item/838cce082a2b2436e92488d9.html
去看看这篇文章和评论。
|
能力值:
( LV5,RANK:60 )
|
-
-
18 楼
好!
合影留念
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
正在找这个,谢谢!
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
IceSword 过不了,其他没测试
|
能力值:
( LV9,RANK:610 )
|
-
-
21 楼
说了过不了IS的,能没有就没有,不能没有的就藏之,藏不了就伪装~
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
不错 学习学习 谢了先
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
如果能在创建子进程的时候,动态修改子进程加载的DLL为指定的DLL就更完美了,,当然是同名的替换
|
|
|