阅读:3429回复:22
谁有IceSword下进程隐藏的程序,学习一下,谢谢.
我的email:yongri3@163.com
|
|
最新喜欢:HWFDVD |
沙发#
发布于:2007-01-19 09:49
我还想要darkspy下隐藏进程的呢~
|
|
|
板凳#
发布于:2007-01-19 10:01
我想要pwalker下隐藏进程的
|
|
|
地板#
发布于:2007-01-22 17:29
引用第0楼smyuuu于2007-01-19 09:30发表的“谁有IceSword下进程隐藏的程序,学习一下,谢谢.”: 拿Fu改的,只能在ICESWORD下隐藏。XPSP2下 |
|
|
地下室#
发布于:2007-01-22 18:41
引用第3楼yykingking于2007-01-22 17:29发表的“”: 不行,不要忘了试system check。估计只比fu多做了一点 抹掉eprocess里的pid? 不如我们抹去eprocess更多的识别信息,可以骗过几乎全部tools,不过在一些人眼里 这不叫“真的隐藏”。其实黑猫白猫抓到老鼠就是好猫。 |
|
5楼#
发布于:2007-01-22 18:44
其实只要有线程就可以了~嘿嘿~
|
|
|
6楼#
发布于:2007-01-22 20:58
引用第4楼kakaba于2007-01-22 18:41发表的“”: 你试验了???不能过吗?? |
|
7楼#
发布于:2007-01-22 21:06
引用第6楼yykingking于2007-01-22 20:58发表的“”: 试过才回帖的嘛。因为system check的显示结果是pid=0,所以猜测你是清除了一些 eprocess特征来欺骗前面的process栏。猜错莫怪。 其实用清除eprocess特征法可以骗过了很多软件,再多改一些就可以骗过它啦! |
|
8楼#
发布于:2007-01-23 09:25
清除eprocess特征,比抹DRIVEROBJECT的要麻烦的多,有些东西是不能去掉的,不然进程不能正常运行.
|
|
|
9楼#
发布于:2007-01-23 09:27
引用第8楼wowocock于2007-01-23 09:25发表的“”: DRIVEROBJECT和eprocess分别能抹到什么程度呢? |
|
|
10楼#
发布于:2007-01-23 09:48
Driverobject可以擦到只有DipatchRoutine(有的驱动不需要dispatch的话,基本上可以全面NULL)
|
|
|
11楼#
发布于:2007-01-23 09:49
Eprocess里有些地方不能擦掉~
线程和句柄部分貌似擦掉会有麻烦~还有一些状态标示不能擦~ 哈哈~ |
|
|
12楼#
发布于:2007-01-23 09:54
引用第10楼killvxk于2007-01-23 09:48发表的“”: 那如果这样的话,怎么去发现呢?感觉太BT了。 |
|
|
13楼#
发布于:2007-01-23 10:07
引用第12楼bizhan123于2007-01-23 09:54发表的“”: 反正我的drv功能通过sysentry来使用~用KeAddXXX注册了很多调用~ DRVOBJECT里的东西基本擦掉,DriverObject的那个Head里的几个东西擦掉,objectType的typelist断开~ 另外以自己的驱动名称为特征搜索nonpage内存找到一个drvobject就擦掉一个,最最重要的是别忘了在ObjTree中擦掉自己~ |
|
|
14楼#
发布于:2007-01-23 10:10
即使如此还是可以查的哈~,内存特征码搜索看看是不是被感染就行了~嘿嘿~
另外可能有SectionObject与我们的驱动文件关联,这个也许得擦~~反正你想出一个方法,别人就想出2种方法检查~ |
|
|
15楼#
发布于:2007-01-23 10:36
引用第7楼kakaba于2007-01-22 21:06发表的“”: 汗啊。。刚发现它有个system check功能,,确实能检测出来。。。 不过我没有修改eprocess里的东西,也没有修改obj header。。。 |
|
16楼#
发布于:2007-01-26 15:32
引用第9楼bizhan123于2007-01-23 09:27发表的“”: 这取决于你想用到它的程度 |
|
|
17楼#
发布于:2007-01-26 19:18
驱动甚至都可以不用,自己分配一段核心内存,把代码拷贝过去,再把驱动卸载,由内存代码执行,不要用核心线程或WORK ITEM,最好由KOH来获得执行,不要用KEDELAY..,KEWAIT==,否则,还是可以被查到,以前和那2个俄罗斯家伙PK,就干过,让他们的RKUNHOOK也郁闷了一把.
|
|
|
18楼#
发布于:2007-01-26 19:20
引用第17楼wowocock于2007-01-26 19:18发表的“”: 厉害 |
|
|
19楼#
发布于:2007-01-28 19:55
反编译一下is就知道,太容易过了,N种方法,不过都不好公布,一说出去马上就被堵住了
|
|
上一页
下一页