阅读:2203回复:11
求绕过【咔吧】的rootkit进程隐藏 【方法】!!!
唉。 用了一些隐藏进程的方法, 如摘除进程活动链,hook NtQuerySystemInformation
结果都会被咔吧 找到。。 网上找不到如何绕过咔吧的进程隐藏检测 求 各位大哥 帮忙小弟 提供几个绕过的方法,,谢谢! |
|
沙发#
发布于:2007-06-09 23:33
卡巴同学 hook的SwapContext,,,要饶过,基本上很难
不过可以把它的HOOK摘了先。。。 |
|
|
板凳#
发布于:2007-06-09 23:48
WQXNETQIQI , 经常看到您的身影,谢谢您提供的方法。
小弟谢过。 我这就去google去。。。 |
|
地板#
发布于:2007-06-10 00:23
WQXNETQIQI ,, 不知道还有没有其他方法。。
|
|
地下室#
发布于:2007-06-10 15:24
抹掉eprocess里几个东西,让所有的anti rootkit认为进程已经死亡是很简单的~不过有个问题就是这样也会对进程的网络,GUI等活动造成影响,rootkit干嘛要存在进程呢?
|
|
|
5楼#
发布于:2007-06-10 15:40
killvxk 大哥,你好, 感谢回复..
rootkit干嘛要存在进程呢? 本来想用远程线程插入dll的方法, 咔吧还是会提示. 不知道有何高招可以 不用存在进程.. |
|
6楼#
发布于:2007-06-11 09:11
有很多方法,使别人无法检测,可,怕拿出来祸害世人,所以还是自己研究吧,发挥自己的想象力,哈哈.
|
|
|
7楼#
发布于:2007-06-11 11:16
引用第6楼wowocock于2007-06-11 09:11发表的 : 确实如此~ 不过有些招还是可以说出来的~~ 如果连插入都搞不定~~还是回家洗洗睡了吧~ |
|
|
8楼#
发布于:2007-06-12 10:21
看看 iceword的做法
hook任意一个内核函数,只要这个函数运行在线程上下文. 那你就可以推出线程.之后就到进程 |
|
9楼#
发布于:2007-06-13 09:48
killvxk 教训得是啊。。。
|
|
10楼#
发布于:2007-06-13 12:49
把功能都写进sys好了,
参考Greg Hoglund 的exploiting software,有些代码。 |
|
|
11楼#
发布于:2007-06-15 15:33
谢谢 楼上
|
|