搜索
查看: 2317|回复: 18
收起左侧

[原创工具] 欺骗进程路径,让ARK找不到证据

[复制链接]
jinfu
发表于 2019-5-19 19:05:53 | 显示全部楼层 |阅读模式
本帖最后由 jinfu 于 2019-5-19 19:07 编辑

antispy.png

IceLight.png

IceSword.png

PCHunter32.png


PowerTool.png

SysReveal.png


WTool.png



本人用易语言写的一个小程序,运行后无法让任何软件获取文件绝对路径,从而无法从文件处分析(内存除外),且轻而易举骗过各大ARK软件,
无需加驱,适用于主流Windows系统。欢迎同学测试,觉得这个方式是一个让病毒发展的漏洞,稍微有不足之处欢迎指出。






test(密码kafan.cn).zip

344.65 KB, 下载次数: 126

sanhu35
发表于 2019-5-19 22:30:23 | 显示全部楼层
本帖最后由 sanhu35 于 2019-5-19 22:34 编辑

窗口被隐藏了,确实看不到进程,火绒剑连那个数字都看不到
用火绒结束进程,确认后,进程并没有被结束

2019-05-19_223109.jpg

yjwfdc
发表于 2019-5-19 23:37:28 | 显示全部楼层
本帖最后由 yjwfdc 于 2019-5-19 23:39 编辑
sanhu35 发表于 2019-5-19 22:30
窗口被隐藏了,确实看不到进程,火绒剑连那个数字都看不到
用火绒结束进程,确认后,进程并没有被结束

...

只是注入了explorer.exe,没有进程,只有线程。
你阻止他创建远程线程他就没有办法了。
不过,火绒没有这些功能。
sanhu35
发表于 2019-5-20 09:21:15 | 显示全部楼层
yjwfdc 发表于 2019-5-19 23:37
只是注入了explorer.exe,没有进程,只有线程。
你阻止他创建远程线程他就没有办法了。
不过,火绒没有 ...

是的
jinfu
 楼主| 发表于 2019-5-20 09:51:58 | 显示全部楼层
yjwfdc 发表于 2019-5-19 23:37
只是注入了explorer.exe,没有进程,只有线程。
你阻止他创建远程线程他就没有办法了。
不过,火绒没有 ...

就算创建线程也一定有DLL吧,但是这个没有DLL
cocomail
发表于 2019-5-20 11:34:21 | 显示全部楼层
jinfu 发表于 2019-5-20 09:51
就算创建线程也一定有DLL吧,但是这个没有DLL

移动了文件
yjwfdc
发表于 2019-5-20 12:56:49 | 显示全部楼层
jinfu 发表于 2019-5-20 09:51
就算创建线程也一定有DLL吧,但是这个没有DLL

还以为会监视关机,关机就重写,在win7 32位,设置了自启动,结果是没有回写,电脑重启完没有启动
nmyh
发表于 2019-5-23 21:27:43 | 显示全部楼层
点了那个按钮之后很隐蔽啊,工具都失效了
风云思星
发表于 2019-6-30 16:05:54 | 显示全部楼层
6666赞
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-12-16 05:00 , Processed in 0.098836 second(s), 20 queries .

快速回复 返回顶部 返回列表