hidetoolz源码_开源r0进程隐藏保护⼯具通过发送窗⼝消息
毕竟是不会蓝屏的隐藏进程,也想看看到底是破PG的还是什么更骚的操作。
于是鄙⼈分析了--"HideToolz"
--⽆奈发现鄙⼈电脑⼀直驱动加载失败,正当选择放弃、正当选择打开UC看点什么的时候,收到了搜索引擎推送⼴告(根据历史),没错就是"HideToolz"、好吧,下载了个最新版,发现可以加载成功了,接下来把sys提取出来,然后拖进IDA
接下来就是⼀顿乱C当然少不了我修改⼀丢丢代码了(我眼⾥不到100%就是⼀丢丢),发现了⼀个很重要的问题(还以为⽩分析了) 下⾯再讲这个问题
最终结果就是原⽣态直接通信驱动⽽达成进程隐藏/保护的效果
来点真实的,接下来说说很重要的问题
这个隐藏进程,其实在部分系统就是⼀个进程伪装/欺骗,相信动⼿能⼒强的坏叔叔已经发现了。
源代码下载开源社区那么讲的再仔细⼀点,[此段直接扒拉下来了⼤漠的描述:把当前进程伪装成pid指定的进程,可以保护进程路径⽆法被获取到.如果省略pid 参数,则伪装成进程.]
不过我们⽤的这个是伪装成桌⾯进程"" 年轻⼈,先不要着急,还有但是呢:代码不仅包含伪装,也发现了真实的隐藏进程,在
Win7系统完美运⾏! 好了 就讲到这⾥了!
最终的结论:Win7=真实隐藏进程,Win10=伪装进程

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。