查看: 18310|回复: 25
收起左侧

[原创工具] 欺骗进程路径,让ARK找不到证据

  [复制链接]
jinfu
发表于 2019-5-19 19:05:53 | 显示全部楼层 |阅读模式
本帖最后由 jinfu 于 2019-5-19 19:07 编辑

antispy.png

IceLight.png

IceSword.png

PCHunter32.png


PowerTool.png

SysReveal.png


WTool.png



本人用易语言写的一个小程序,运行后无法让任何软件获取文件绝对路径,从而无法从文件处分析(内存除外),且轻而易举骗过各大ARK软件,
无需加驱,适用于主流Windows系统。欢迎同学测试,觉得这个方式是一个让病毒发展的漏洞,稍微有不足之处欢迎指出。






test(密码kafan.cn).zip

344.65 KB, 下载次数: 288

ZNKZZ.
发表于 2019-5-19 21:28:59 | 显示全部楼层
PCHunter看不到进程
sanhu35
发表于 2019-5-19 22:30:23 | 显示全部楼层
本帖最后由 sanhu35 于 2019-5-19 22:34 编辑

窗口被隐藏了,确实看不到进程,火绒剑连那个数字都看不到
用火绒结束进程,确认后,进程并没有被结束

2019-05-19_223109.jpg

yjwfdc
头像被屏蔽
发表于 2019-5-19 23:37:28 | 显示全部楼层
本帖最后由 yjwfdc 于 2019-5-19 23:39 编辑
sanhu35 发表于 2019-5-19 22:30
窗口被隐藏了,确实看不到进程,火绒剑连那个数字都看不到
用火绒结束进程,确认后,进程并没有被结束

...

只是注入了explorer.exe,没有进程,只有线程。
你阻止他创建远程线程他就没有办法了。
不过,火绒没有这些功能。
sanhu35
发表于 2019-5-20 09:21:15 | 显示全部楼层
yjwfdc 发表于 2019-5-19 23:37
只是注入了explorer.exe,没有进程,只有线程。
你阻止他创建远程线程他就没有办法了。
不过,火绒没有 ...

是的
jinfu
 楼主| 发表于 2019-5-20 09:51:58 | 显示全部楼层
yjwfdc 发表于 2019-5-19 23:37
只是注入了explorer.exe,没有进程,只有线程。
你阻止他创建远程线程他就没有办法了。
不过,火绒没有 ...

就算创建线程也一定有DLL吧,但是这个没有DLL
cocomail
发表于 2019-5-20 11:34:21 | 显示全部楼层
jinfu 发表于 2019-5-20 09:51
就算创建线程也一定有DLL吧,但是这个没有DLL

移动了文件
yjwfdc
头像被屏蔽
发表于 2019-5-20 12:56:49 | 显示全部楼层
jinfu 发表于 2019-5-20 09:51
就算创建线程也一定有DLL吧,但是这个没有DLL

还以为会监视关机,关机就重写,在win7 32位,设置了自启动,结果是没有回写,电脑重启完没有启动
nmyh
发表于 2019-5-23 21:27:43 | 显示全部楼层
点了那个按钮之后很隐蔽啊,工具都失效了
风云思星
发表于 2019-6-30 16:05:54 | 显示全部楼层
6666赞
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 06:39 , Processed in 0.127561 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表