|
阅读:3125回复:8
有人了解进程的PEB嘛?我想修改名字绕 防火墙
如 瑞星的墙 他的可信任列表 记录了名字以及存储的位置
我读了一些文章,想通过修改PEB表来修改进程名字和路径,绕过防火墙 参照网上代码后,修改了进程的本身引入module的名字和地址 可是进程名字在管理器中并没有改变 实验是在xp中做的,是否是ms在xp中做了变更呢?来组织修改PEB |
|
|
沙发#
发布于:2007-11-26 19:29
又是你,注入就好啦
|
|
|
|
板凳#
发布于:2007-11-27 12:04
哈哈。。最近在弄驱动 要绕过防火墙。。想了不少方法 都不成。哎
我还没注入呢,仅仅测试的是自己的主程序,程序代码就在当前进程运行,修改的也是当前进程。我就奇怪为什么不成。。还是说得做成dll注入 什么特殊的进程里? |
|
|
地板#
发布于:2007-11-27 12:31
引用第1楼WQXNETQIQI于2007-11-26 19:29发表的 : MJ一针见血,没有做过,不过很明显名字不只是在PEB有的 |
|
|
|
地下室#
发布于:2007-11-28 15:35
哎。。MJ大大。。再说清楚点。。。。。。。。。。。。。
|
|
|
5楼#
发布于:2007-11-29 09:48
这种方法n年前就有人提出来了,但这个方法仅仅针对的是核心或者文件全路径从peb取得那种情况,现在这种方法基本已经没有什么用处了,你在peb中修改了modulename,在Taskmgr中当然不会发现有什么变化了,因为taskmgr是直接调用的NtQuerySystemInformation,而并非去调用psapi等应用层的东西,所有你无论怎么修改peb都是没有办法修改taskmgr中的进程名的,要在内核解决主机防火墙重点还是要放到tdi和ndis上,当然应用层利用插入模块到可信任的进程中也是一个方法
|
|
|
6楼#
发布于:2007-12-07 13:53
主要是。..在防火墙 也得有连网的时候。.为了让他绕过别的防火墙 也得想办法绕啊
不然让客户给屏蔽了 不就损失功能了 |
|
|
7楼#
发布于:2007-12-07 15:56
要骗进程管理器的话,改EPROCESS::SeAuditProcessCreationInfo就行了
|
|
|
8楼#
发布于:2007-12-07 19:58
晕~~绕过防火墙~~
|
|
|
