首页
社区
课程
招聘
[求助]ring3隐藏进程的另类方式
发表于: 2015-11-21 04:40 7150

[求助]ring3隐藏进程的另类方式

2015-11-21 04:40
7150

用peb来枚举进程早就不安全了..PEB存储路径的地方也就下面几个,改一改就完了.
PEB->ProcessParameters->ImagePathName
PEB->ProcessParameters->CommandLine
PEB->ProcessParameters->WindowTitle
PEB->Ldr->InLoadOrderLinks->FullDllName
PEB->Ldr->InMemoryOrderLinks->FullDllName
正解

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 256
活跃值: (48)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
用peb来枚举进程早就不安全了..PEB存储路径的地方也就下面几个,改一改就完了.
PEB->ProcessParameters->ImagePathName
PEB->ProcessParameters->CommandLine
PEB->ProcessParameters->WindowTitle
PEB->Ldr->InLoadOrderLinks->FullDllName
PEB->Ldr->InMemoryOrderLinks->FullDllName
2015-11-21 05:56
0
雪    币: 67
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
只在Ring3隐藏进程这种做法本来就不可取,效果有限,还得要在Ring0下功夫,
你反挂钩个NtOpenProcess和NtReadVirtualMemory就行了!
2015-11-21 09:05
0
雪    币: 118
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
诚实的少年,送飞机杯不要只是说说哟
2015-11-21 09:14
0
雪    币: 1047
活跃值: (671)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
直接把你EXE写成DLL形式~
2015-11-21 12:07
0
雪    币: 13
活跃值: (26)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
6
老大,有联系方式没 ,飞机杯送到家,or 你要其他的也可以
2015-11-21 12:53
0
雪    币: 13
活跃值: (26)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
7
tp那货好难勾啊。。只能从自身上处理。
2015-11-21 13:00
0
雪    币: 13
活跃值: (26)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
8
写成DLL 然后注入到任务管理器?  winlogon.exe吗?
2015-11-21 13:01
0
雪    币: 1047
活跃值: (671)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
都可以呀
2015-11-21 18:57
0
雪    币: 13
活跃值: (26)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
10
好喜欢你的头像
2015-11-23 23:45
0
游客
登录 | 注册 方可回帖
返回