呵呵无聊发个隐藏进程的东西，目前antispy，xuetr等很多ark工具不能检测,发布代码!

m220011

这玩意用途是啥。。。

fkrs10

等大神测试，菜鸟不敢乱试。

benlvan

我在2010年初写的一个“无驱动玩具ARK”能检测到真实PID：

XT结束不了估计是因为修改了EPROCESS结构的什么类似ApcQueueable之类的项，如果把这些项的值修改为正确的值，那么XT就可以结束了。
换一种思路结束进程：尽然已经找到了进程路径，直接把进程文件删除掉，然后重启，进程自然消失了。
这些小把戏大部分人在2009年就玩厌了，现在是2013年了。楼主，醒醒吧。

benlvan

顺便爆个前年帮朋友写的一个隐藏进程工具，BYPASS XUESWORD，XT也被骗了一半。
隐藏的进程是TASKMGR.EXE，使用了DKOM+HOOK的手段，让XT无法获得真实路径。
BIN和SRC就别找我要了（签了保密协议），你如果不信就当图片是我PS的就行了。

---

隐藏进程前（注意PID为1836的进程）：


隐藏进程后（注意PID为1836的进程，EPROCESS没变，但XT里路径变化了，XUESWORD里完全没了踪影）：


PS：最新的PCHUNTER也无法检测到真实路径，看来PCHUNTER并没有增强进程检测。

hopetobe

benlvan 发表于 2013-4-5 22:19
顺便爆个前年帮朋友写的一个隐藏进程工具，BYPASS XUESWORD，XT也被骗了一半。
隐藏的进程是TASKMGR.EXE， ...

不要源码，我只要知道是什么东西用了这种东西，然后看看机器上有没有碰上这货……

hu3167343

直接DKOM EPROCESS 结构的话确实是比较蛋疼的，而且没有好的检测手法。
其实要想bypass专门的检测工具的话，方法还是很多的，毕竟我们在明，病毒作者在暗。

下个版本AntiSpy希望能针对这个改进下，谢谢LZ。

lpmjknj

hu3167343 发表于 2013-4-5 23:52
直接DKOM EPROCESS 结构的话确实是比较蛋疼的，而且没有好的检测手法。
其实要想bypass专门的检测工 ...

驱动代码： qud.e (11.73 KB, 下载次数: 490)

2013-4-6 07:55 上传

点击文件名下载附件

lpmjknj

呵呵过antispy原理，很多ark工具会判断ObjectTable、ExitTime的数值判断是否是死进程，我修改为符合死进程的条件ark就会过滤他实现隐藏

lpmjknj

注意修改ObjectTable虽然能过检测但是该进程不能做任何事一旦进程被激活立即蓝屏..这就是我为什么搞个口窗口程序的原因了

benlvan

lpmjknj 发表于 2013-4-6 07:59
呵呵过antispy原理，很多ark工具会判断ObjectTable、ExitTime的数值判断是否是死进程，我修改为符合死进程的 ...

告诉你我为什么能检测到你的真实PID而且知道进程是活的：
1.读取CSRSS里面某条链表（不是DuplicateHandle枚举句柄表）。
2.调用ResumeProcess，如果真的是死进程，会返回失败，否则返回成功。