版块
论坛
喜欢
话题
应用
搜索
登录
注册
cppdev的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=163689
求绕过【咔吧】的rootkit进程隐藏 【方法】!!!
唉。 用了一些隐藏进程的方法, 如摘除进程活动链,hook NtQuerySystemInformation结果都会被咔吧 找到。。网上找不到如何绕过咔吧的进程隐藏检测求 各位大哥 帮忙小弟 提供几个绕过的方法,,谢谢!
回复
(
11
)
2007-06-09 22:52
来自版块 -
内核编程
◆
◆
表情
告诉我的粉丝
提 交
cppdev
:
谢谢 楼上
(2007-06-15 15:33)
回复
wingsoft
:
把功能都写进sys好了, 参考Greg Hoglund 的exploiting software,有些代码。
(2007-06-13 12:49)
回复
cppdev
:
killvxk 教训得是啊。。。
(2007-06-13 09:48)
回复
GoodOnline
:
看看 iceword的做法 hook任意一个内核函数,只要这个函数运行在线程上下文. 那你就可以推出线程.之后就到进程
(2007-06-12 10:21)
回复
killvxk
:
引用第6楼wowocock于2007-06-11 09:11发表的 : 有很多方法,使别人无法检测,可,怕拿出来祸害世人,所以还是自己研究吧,发挥自己的想象力,哈哈. 确实如此~ 不过有些招还是可以说出来的~~ 如果连插入都搞不定~~还是回家洗洗睡了吧~
(2007-06-11 11:16)
回复
wowocock
:
有很多方法,使别人无法检测,可,怕拿出来祸害世人,所以还是自己研究吧,发挥自己的想象力,哈哈.
(2007-06-11 09:11)
回复
cppdev
:
killvxk 大哥,你好, 感谢回复.. rootkit干嘛要存在进程呢? 本来想用远程线程插入dll的方法, 咔吧还是会提示. 不知道有何高招可以 不用存在进程..
(2007-06-10 15:40)
回复
killvxk
:
抹掉eprocess里几个东西,让所有的anti rootkit认为进程已经死亡是很简单的~不过有个问题就是这样也会对进程的网络,GUI等活动造成影响,rootkit干嘛要存在进程呢?
(2007-06-10 15:24)
回复
cppdev
:
WQXNETQIQI ,, 不知道还有没有其他方法。。
(2007-06-10 00:23)
回复
cppdev
:
WQXNETQIQI , 经常看到您的身影,谢谢您提供的方法。 小弟谢过。 我这就去google去。。。
(2007-06-09 23:48)
回复
1
2
下一页 »
cppdev
加关注
写私信
0
关注
0
粉丝
42
帖子
返回顶部