x64伪装进程路径 过PCHunter xxx ARK

最新推荐文章于 2024-04-06 09:39:36 发布
最新推荐文章于 2024-04-06 09:39:36 发布
阅读量5.4k 收藏 6
点赞数 1
分类专栏: 驱动学习 文章标签: 路径伪装 进程伪装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/81095063
版权
zhuhuibeishadiao
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
隐藏技术之进程伪装
weixin_42071117的博客
10-16 1565
// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。 // 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。 // NtQueryInformationProcess函数 // 作用:获取指定进程的信息。 // 原型:NSTATUS WINAPI NtQueryInformationProcess( // _In_ HANLDE hProcess; // _In_ PROCESSIN
PCHunter64PCHunter64PCHunter64
08-31
标题中的"PCHunter64"是一款著名的Windows系统底层分析工具,专用于查看和管理计算机的硬件、软件资源,以及进行系统安全检测。PCHunter64是其64位版本,适应于64位Windows操作系统。 PCHunter64的主要功能包括但不...
程序伪装
10-15
最新 程序伪装
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
windows下 修改,伪装进程路径。支持XP,WIN7 WIN764
探秘 ProcessGhosting:一款强大的进程隐藏工具
gitblog_00037的博客
04-06 500
探秘 ProcessGhosting:一款强大的进程隐藏工具 项目地址:https://gitcode.com/knightswd/ProcessGhosting 项目简介 ProcessGhosting 是一个开源项目,主要设计用于在Windows操作系统中实现进程的隐蔽和伪装,以提升系统的安全性和隐私保护。项目由开发者 KnightSWD 创建并维护,其目标是提供一种安全、高效的方式,让用户的...
易语言驱动级进程信息伪装源码 只支持 64位系统
06-06
易语言驱动级进程信息伪装源码 只支持 64位系统。@莫爱。
R3注入的四种方式
zyorz的博客
09-27 2914
DLL注入1.首先要获取想要注入的进程句柄(OpenProcess) 2.从要注入的进程的地址空间中分配一段内存(VirtualAllocEx) 3.往分配的内存位置写入要注入的DLL名称(WriteProcessMemory) 4.从kernel32.dll中找到LoadLibrary(A或W)函数地址(GetModuleHandle+GetProcAddress) 5.创建远程线程执行加
创建傀儡进程svchost.exe并注入DLL文件(Shellcode)
【Rainbow Network Technology co., LTD】
08-13 674
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。
PCHunter64
06-05
使用**PCHunter64**需要注意的是,不要随意结束不了解的进程,因为有些系统关键进程的终止可能会导致系统不稳定甚至崩溃。在操作之前,建议先了解相关进程的作用,或者在专业指导下进行。 在**压缩包**中,唯一的...
PC Hunter64(手工杀毒软件)
最新发布
05-12
PC Hunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马,一般来说,将正在计算机执行的程序叫做“进程”(Process)...
PCHunter64.zip
09-23
在计算机系统中,进程是正在执行的程序实例,有些进程可能由于各种原因(如资源占用过高、程序错误等)无法正常关闭,这时就需要借助像PCHunter64这样的工具来强制结束。PCHunter64的这一特性,使得它成为了系统管理...
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
PCHunter工具
03-27
PCHunter支持x86、x64,查看进程模块,内核和应用层钩子等信息
PCHunter免费版
03-20
Linxer大牛在XueTr源码基础上重新开发了PC Hunter,支持Win8和X64,本次更新新增了十几处检测。分为免费版和收费版。 于2013年1月24日发布1.0免费版本。 在其微博上表示是购买了微软数字签名证书,并不是之前传言的0day。 本工具目前初步实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,暂时不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举 免费版更新列表: 1.基于XueTr源码重新开发而来,应该超越了XueTr。
易语言-易语言驱动级进程信息伪装源码 只支持 64位系统
06-25
易语言驱动级进程信息伪装源码 只支持 64位系统
驱动保护.伪装进程.e
12-14
伪装进程起到保护进程的作用
WIN10-PCHunter64.zip
04-05
PC Hunter是Windows系统信息查看软件,一种常用性质软件。 软件性质:常用软件 更新时间:2019-01-31 应用平台:32位的2000、XP、2003、Vista、2008、Win7、Win8、Win8.1、Win10 64位的Win7、Win8、Win8.1、Win10...
aardio - 伪装进程测试
光庆的学习笔记
05-29 822
根据网上资料,修改进程peb→param数据,可以达到伪装进程的目的。但经过测试( aardio + win11 X64 )可以修改成功,用aardio自身读取信息进行验证,也确实改变了内存数据,但用 procmon 进行查看时,却仍然显示原来数据。...
关于木马免杀的一些方法
oiadkt的博客
04-27 1303
关于木马免杀的一些方法
pchunter64需要什么驱动
11-15
pchunter64是一个著名的硬件设备驱动程序管理工具,它可以帮助用户检测和更新计算机中各种硬件设备的驱动程序。为了让pchunter64正常运行,您需要确保您的计算机上已经安装了一些必要的驱动程序。 首先,您需要安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值