-
唉。 用了一些隐藏进程的方法, 如摘除进程活动链,hook NtQuerySystemInformation结果都会被咔吧 找到。。网上找不到如何绕过咔吧的进程隐藏检测求 各位大哥 帮忙小弟 提供几个绕过的方法,,谢谢!
◆
◆
-
cppdev:谢谢 楼上(2007-06-15 15:33)
-
wingsoft:把功能都写进sys好了, 参考Greg Hoglund 的exploiting software,有些代码。(2007-06-13 12:49)
-
GoodOnline:看看 iceword的做法 hook任意一个内核函数,只要这个函数运行在线程上下文. 那你就可以推出线程.之后就到进程(2007-06-12 10:21)
-
killvxk:引用第6楼wowocock于2007-06-11 09:11发表的 : 有很多方法,使别人无法检测,可,怕拿出来祸害世人,所以还是自己研究吧,发挥自己的想象力,哈哈. 确实如此~ 不过有些招还是可以说出来的~~ 如果连插入都搞不定~~还是回家洗洗睡了吧~(2007-06-11 11:16)
-
wowocock:有很多方法,使别人无法检测,可,怕拿出来祸害世人,所以还是自己研究吧,发挥自己的想象力,哈哈.(2007-06-11 09:11)
-
cppdev:killvxk 大哥,你好, 感谢回复.. rootkit干嘛要存在进程呢? 本来想用远程线程插入dll的方法, 咔吧还是会提示. 不知道有何高招可以 不用存在进程..
(2007-06-10 15:40)
-
killvxk:抹掉eprocess里几个东西,让所有的anti rootkit认为进程已经死亡是很简单的~不过有个问题就是这样也会对进程的网络,GUI等活动造成影响,rootkit干嘛要存在进程呢?(2007-06-10 15:24)
-
cppdev:WQXNETQIQI ,, 不知道还有没有其他方法。。(2007-06-10 00:23)
