查看: 11712|回复: 15
上一主题 下一主题
收起左侧

[原创工具] 进程监视器装逼版——令PCHunter无法正常解析回调

[复制链接]
tang-ptr
跳转到指定楼层
1
发表于 2016-11-21 23:46:51 | |只看大图 回帖奖励 |倒序浏览 |阅读模式
监视创建进程用的方法是用烂了的回调法,可以用PCHunter检测到,然而PCHunter会返回奇怪的东西,那就是回调是由NT内核驱动创建的!作为缉毒卫队装逼部部长,也是时候装点逼了
引用AST作者的一句话:"其实RK只要有了驱动,完全可以让任何AV/ARK感知不到其存在(包括网络连接)。"
顺带再引用本人的一句话:留的驱动在,走遍天下都不怕。
由于时间有限,暂时弄了个32位的版本,以后再弄64位版的吧!
效果如图所示:

别以为PowerTool可以正常枚举,照样枚举不正常[:01:] [:01:] [:01:]

[:01:] [:01:] [:01:]

总结一下所使用到的技术:欺骗PCHunter和PowerTool的回调枚举。
ProcessNotify.zip (740.44 KB, 下载次数: 178)

评分

参与人数 7人气 +9 收起 理由
liulangzhecgr + 3 版区有你更精彩: )
lixihong10 + 1 有了驱动神马都是浮云!
C-FBI-QM + 1 版区有你最性感: )
学雷锋做人 + 1 赞一个!
御宅一族 + 1 版区有你更精彩: )

查看全部评分

学雷锋做人
2
发表于 2016-11-22 09:00:59 |
比某人的娱乐安全软件强多了,不停刷回复帖真是令人恶心!
tang-ptr
3
 楼主| 发表于 2016-11-23 10:38:06 |
现在才发现其实在XP下监视进程创建横行的方法仍然是HOOK法,而不是回调
其实是老人
4
发表于 2016-11-26 20:08:14 |
来卡饭就想看点技术帖,太不好找,放眼望去全是水。。。
来自安卓客户端来自安卓客户端
shulun743
5
发表于 2016-11-29 14:43:58 |
学雷锋做人 发表于 2016-11-22 09:00
比某人的娱乐安全软件强多了,不停刷回复帖真是令人恶心!

哪个 娱乐软件啊?
tang-ptr
6
 楼主| 发表于 2016-11-29 16:54:42 |
shulun743
7
发表于 2016-11-29 17:16:14 |
tang-ptr 发表于 2016-11-29 16:54
http://bbs.kafan.cn/thread-2050710-1-1.html

哦 ,呵呵, 谢谢谢你
学雷锋做人
头像被屏蔽
8
发表于 2016-11-29 19:08:53 |
提示: 该帖被管理员或版主屏蔽
BHHZDQL
9
发表于 2016-12-9 10:36:00 |
学雷锋做人 发表于 2016-11-29 19:08
我不想把话说开了,但是你看6楼也知道了,进那帖子里看看就知道了,从头到尾差不多都是自己跟一个熟人 ...

不要说实话好不好,这的确是娱乐软件

但是以前更娱乐的软件可是发在国内杀毒软件区的。不仅仅发在国内软件区、同一套源码还硬生生的做出了10个安全软件。
当然我也干过、当时不懂事,居然敢把那么娱乐和粗糙的软件放到国内软件区。(具体可以搜索:轻云杀毒、自进化杀毒软件、组合卫士杀毒软件、AS杀毒软件、AS System Defender)。

至于1.0版本是文件名引擎的娱乐软件我相信,可是很早以前就加入了启发引擎、自学习引擎了,而且防御方式也从延迟度很高的方式改成很靠前的方式了,那么长时间的修改、优化,我拿自己手边所有的电脑,WIN732位、64位、WIN1064位都测试过很长时间。现在我可是拿它单奔的。

更重要的是、现在的“文件名引擎”和最开始的“文件名启发引擎”完全不能比好吧,现在我有数百条文件名库、效果好多了。

我起码敢拿他单奔,以自己的电脑做实验,确保不会出大问题后,我也仅仅只是敢放到辅助工具区这种人少的区。年纪大了胆子小了呗。。。

至于刷帖嘛,也很正常、以前刷的比这个还狠,不刷帖哪来的知名度嘛

很多下三滥的手段往往十分有效果




100lj
10
发表于 2017-3-12 18:57:46 |
大神PK帖
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-5-27 06:32 , Processed in 0.076185 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表