欺骗进程路径,让ARK找不到证据

显示全部楼层 · 发表于 2019-5-19 19:05:53

本帖最后由 jinfu 于 2019-5-19 19:07 编辑

本人用易语言写的一个小程序,运行后无法让任何软件获取文件绝对路径，从而无法从文件处分析(内存除外),且轻而易举骗过各大ARK软件，
无需加驱,适用于主流Windows系统。欢迎同学测试,觉得这个方式是一个让病毒发展的漏洞,稍微有不足之处欢迎指出。

显示全部楼层 · 发表于 2019-5-19 21:28:59

PCHunter看不到进程

显示全部楼层 · 发表于 2019-5-19 22:30:23

本帖最后由 sanhu35 于 2019-5-19 22:34 编辑

窗口被隐藏了，确实看不到进程，火绒剑连那个数字都看不到
用火绒结束进程，确认后，进程并没有被结束

显示全部楼层 · 发表于 2019-5-19 23:37:28

本帖最后由 yjwfdc 于 2019-5-19 23:39 编辑

sanhu35 发表于 2019-5-19 22:30
窗口被隐藏了，确实看不到进程，火绒剑连那个数字都看不到
用火绒结束进程，确认后，进程并没有被结束

...

只是注入了explorer.exe,没有进程，只有线程。
你阻止他创建远程线程他就没有办法了。
不过，火绒没有这些功能。

显示全部楼层 · 发表于 2019-5-20 09:21:15

yjwfdc 发表于 2019-5-19 23:37
只是注入了explorer.exe,没有进程，只有线程。
你阻止他创建远程线程他就没有办法了。
不过，火绒没有 ...

是的

显示全部楼层 · 发表于 2019-5-20 09:51:58

yjwfdc 发表于 2019-5-19 23:37
只是注入了explorer.exe,没有进程，只有线程。
你阻止他创建远程线程他就没有办法了。
不过，火绒没有 ...

就算创建线程也一定有DLL吧，但是这个没有DLL

显示全部楼层 · 发表于 2019-5-20 11:34:21

jinfu 发表于 2019-5-20 09:51
就算创建线程也一定有DLL吧，但是这个没有DLL

移动了文件

显示全部楼层 · 发表于 2019-5-20 12:56:49

jinfu 发表于 2019-5-20 09:51
就算创建线程也一定有DLL吧，但是这个没有DLL

还以为会监视关机，关机就重写，在win7 32位，设置了自启动，结果是没有回写，电脑重启完没有启动

显示全部楼层 · 发表于 2019-5-23 21:27:43

点了那个按钮之后很隐蔽啊，工具都失效了

显示全部楼层 · 发表于 2019-6-30 16:05:54

6666赞

显示全部楼层 · 发表于 2019-7-12 11:38:06

你这不是用的 KClock 么？
多年之前的任务管理器加强工具了。本来就是修改内存，不存在路径。
重启资源管理器就没了。

显示全部楼层 · 发表于 2019-7-18 10:39:36

显示全部楼层 · 发表于 2019-7-21 23:22:52

厉害了，我的骗

显示全部楼层 · 发表于 2019-8-17 12:55:17

楼主厉害

显示全部楼层 · 发表于 2019-8-17 13:31:05

api绕路才叫高招

前段时间看到行业内他们说这个最难分析.
@lixihong10

显示全部楼层 · 发表于 2019-8-24 12:06:36

楼主，这个KMS运行激活后会让explorer进程访问多个域名：https://bbs.kafan.cn/thread-2098902-1-1.html
但是查不出来（非手杀），这跟本帖的类似吗？

显示全部楼层 · 发表于 2019-8-24 22:20:44

厉害了，我的骗

显示全部楼层 · 发表于 2019-8-27 13:54:51

易语言倒底强大不？能不能跟主流语言比？

显示全部楼层 · 发表于 2019-12-11 21:10:10

有什么好方法防御吗？

显示全部楼层 · 发表于 2019-12-24 09:10:12

看起来挺厉害的工具

[原创工具] 欺骗进程路径,让ARK找不到证据