谁有IceSword下进程隐藏的程序,学习一下,谢谢.

smyuuu 驱动牛犊注册日期2007-01-13 最后登录2011-07-15 粉丝0 关注0 积分11分威望63点贡献值0点好评度34点原创分0分专家分0分加关注写私信	阅读：3328回复：22 谁有IceSword下进程隐藏的程序,学习一下,谢谢. 楼主^# 更多只看楼主倒序阅读发布于：2007-01-19 09:30 我的email:yongri3@163.com
	喜欢1 最新喜欢： HWFDVD 回复

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

沙发^#

发布于：2007-01-19 09:49

我还想要darkspy下隐藏进程的呢~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

板凳^#

发布于：2007-01-19 10:01

我想要pwalker下隐藏进程的

驱动开发者呵呵

回复喜欢

yykingking 驱动牛犊注册日期2006-08-22 最后登录2010-07-02 粉丝0 关注0 积分-20分威望44点贡献值0点好评度53点原创分1分专家分0分加关注写私信	地板^# 发布于：2007-01-22 17:29 *引用第0楼smyuuu于2007-01-19 09:30发表的“谁有IceSword下进程隐藏的程序,学习一下,谢谢.”*: 我的email:yongri3@163.com 拿Fu改的，只能在ICESWORD下隐藏。XPSP2下
	附件名称/大小下载次数最后更新 fu.rar (43KB) 244 2007-01-22 17:29 回复(0) 喜欢(0)

kakaba

驱动牛犊

注册日期2005-08-30
最后登录2007-04-30
粉丝0
关注0
积分198分
威望21点
贡献值0点
好评度19点
原创分0分
专家分0分

加关注写私信

地下室^#

发布于：2007-01-22 18:41

引用第3楼yykingking于2007-01-22 17:29发表的“”:

拿Fu改的，只能在ICESWORD下隐藏。XPSP2下

不行，不要忘了试system check。估计只比fu多做了一点抹掉eprocess里的pid？
不如我们抹去eprocess更多的识别信息，可以骗过几乎全部tools，不过在一些人眼里
这不叫“真的隐藏”。其实黑猫白猫抓到老鼠就是好猫。

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

5楼^#

发布于：2007-01-22 18:44

其实只要有线程就可以了~嘿嘿~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

yykingking 驱动牛犊注册日期2006-08-22 最后登录2010-07-02 粉丝0 关注0 积分-20分威望44点贡献值0点好评度53点原创分1分专家分0分加关注写私信	6楼^# 发布于：2007-01-22 20:58 *引用第4楼kakaba于2007-01-22 18:41发表的“”*: 不行，不要忘了试system check。估计只比fu多做了一点抹掉eprocess里的pid？不如我们抹去eprocess更多的识别信息，可以骗过几乎全部tools，不过在一些人眼里 ....... 你试验了？？？不能过吗？？
	回复(0) 喜欢(0)

kakaba

驱动牛犊

注册日期2005-08-30
最后登录2007-04-30
粉丝0
关注0
积分198分
威望21点
贡献值0点
好评度19点
原创分0分
专家分0分

加关注写私信

7楼^#

发布于：2007-01-22 21:06

引用第6楼yykingking于2007-01-22 20:58发表的“”:

你试验了？？？不能过吗？？

试过才回帖的嘛。因为system check的显示结果是pid=0，所以猜测你是清除了一些
eprocess特征来欺骗前面的process栏。猜错莫怪。
其实用清除eprocess特征法可以骗过了很多软件，再多改一些就可以骗过它啦！

回复喜欢

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

8楼^#

发布于：2007-01-23 09:25

清除eprocess特征,比抹DRIVEROBJECT的要麻烦的多,有些东西是不能去掉的,不然进程不能正常运行.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

bizhan123

驱动小牛

注册日期2006-12-26
最后登录2012-03-19
粉丝0
关注0
积分1002分
威望166点
贡献值0点
好评度125点
原创分0分
专家分0分

加关注写私信

9楼^#

发布于：2007-01-23 09:27

引用第8楼wowocock于2007-01-23 09:25发表的“”:
清除eprocess特征,比抹DRIVEROBJECT的要麻烦的多,有些东西是不能去掉的,不然进程不能正常运行.

DRIVEROBJECT和eprocess分别能抹到什么程度呢？

实用信息:www.infozobo.com

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

10楼^#

发布于：2007-01-23 09:48

Driverobject可以擦到只有DipatchRoutine(有的驱动不需要dispatch的话，基本上可以全面NULL)

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

11楼^#

发布于：2007-01-23 09:49

Eprocess里有些地方不能擦掉~
线程和句柄部分貌似擦掉会有麻烦~还有一些状态标示不能擦~
哈哈~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

bizhan123

驱动小牛

注册日期2006-12-26
最后登录2012-03-19
粉丝0
关注0
积分1002分
威望166点
贡献值0点
好评度125点
原创分0分
专家分0分

加关注写私信

12楼^#

发布于：2007-01-23 09:54

引用第10楼killvxk于2007-01-23 09:48发表的“”:
Driverobject可以擦到只有DipatchRoutine(有的驱动不需要dispatch的话，基本上可以全面NULL)

那如果这样的话，怎么去发现呢？感觉太BT了。

实用信息:www.infozobo.com

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

13楼^#

发布于：2007-01-23 10:07

引用第12楼bizhan123于2007-01-23 09:54发表的“”:

那如果这样的话，怎么去发现呢？感觉太BT了。

反正我的drv功能通过sysentry来使用~用KeAddXXX注册了很多调用~

DRVOBJECT里的东西基本擦掉，DriverObject的那个Head里的几个东西擦掉，objectType的typelist断开~
另外以自己的驱动名称为特征搜索nonpage内存找到一个drvobject就擦掉一个，最最重要的是别忘了在ObjTree中擦掉自己~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

14楼^#

发布于：2007-01-23 10:10

即使如此还是可以查的哈~，内存特征码搜索看看是不是被感染就行了~嘿嘿~
另外可能有SectionObject与我们的驱动文件关联，这个也许得擦~~反正你想出一个方法，别人就想出2种方法检查~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

yykingking

驱动牛犊

注册日期2006-08-22
最后登录2010-07-02
粉丝0
关注0
积分-20分
威望44点
贡献值0点
好评度53点
原创分1分
专家分0分

加关注写私信

15楼^#

发布于：2007-01-23 10:36

引用第7楼kakaba于2007-01-22 21:06发表的“”:

试过才回帖的嘛。因为system check的显示结果是pid=0，所以猜测你是清除了一些
eprocess特征来欺骗前面的process栏。猜错莫怪。
其实用清除eprocess特征法可以骗过了很多软件，再多改一些就可以骗过它啦！

汗啊。。刚发现它有个system check功能，，确实能检测出来。。。
不过我没有修改eprocess里的东西，也没有修改obj header。。。

回复喜欢

cardmagic

驱动中牛

注册日期2005-03-15
最后登录2010-01-14
粉丝0
关注0
积分1000分
威望317点
贡献值0点
好评度312点
原创分0分
专家分0分

加关注写私信

16楼^#

发布于：2007-01-26 15:32

引用第9楼bizhan123于2007-01-23 09:27发表的“”:

DRIVEROBJECT和eprocess分别能抹到什么程度呢？

这取决于你想用到它的程度

牌术千术IT cardmagic.bokee.com

回复喜欢

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

17楼^#

发布于：2007-01-26 19:18

驱动甚至都可以不用,自己分配一段核心内存,把代码拷贝过去,再把驱动卸载,由内存代码执行,不要用核心线程或WORK ITEM,最好由KOH来获得执行,不要用KEDELAY..,KEWAIT==,否则,还是可以被查到,以前和那2个俄罗斯家伙PK,就干过,让他们的RKUNHOOK也郁闷了一把.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

18楼^#

发布于：2007-01-26 19:20

引用第17楼wowocock于2007-01-26 19:18发表的“”:
驱动甚至都可以不用,自己分配一段核心内存,把代码拷贝过去,再把驱动卸载,由内存代码执行,最好由KOH来获得执行,不要用KEDELAY..,KEWAIT==,否则,还是可以被查到,以前和那2个俄罗斯家伙PK,就干过,让他们的RKUNHOOK也郁闷了一把.

厉害

驱动开发者呵呵

回复喜欢

lazydog 驱动牛犊注册日期2004-07-08 最后登录2009-10-30 粉丝0 关注0 积分4分威望85点贡献值0点好评度72点原创分0分专家分0分加关注写私信	19楼^# 发布于：2007-01-28 19:55 反编译一下is就知道，太容易过了，N种方法，不过都不好公布，一说出去马上就被堵住了
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

谁有IceSword下进程隐藏的程序,学习一下,谢谢.

最新喜欢：