作者:HellFish
来源:邪恶八进制
被我发现有用这个做免杀的话,哼哼,别指望有后续版本了。
强度简单介绍:
OD无法附加,ICE 会出错。OD直接运行会很有趣。各位多试试吧
至于恢复SSDT什么的,如果驱动被搞。系统会蓝,如果SSDT被恢复,进程无法运行
SDK – 恩,这个版本没带必须的 dcu obj ,不能用的。有需要可以联系我
真实名称 ZwCreateProcessEx 所有的WINNT程序都是由这个函数创建
驱动提供 RealCreate 绕过所有检查直接启动程序,并让程序以SYSTEM权限运行
真实名称 ZwOpenProcess 打开进程获得操作句柄
驱动提供 RealOpen 绕过所有检查打开进程,比如什么防外挂。反木马,杀毒软件之流
用RealOpen打开的handle也不会被检查到
真实名称 ZwWriteVirtualMemory 未公开的内核函数,写任何进程内存
驱动提供 RealWrite
真实名称 ZwReadVirtualMemory 未公开的内核函数,读任何进程内存
驱动提供 RealRead
真实名称 ZwQueryVirtualMemory 查询内存状态
驱动提供 RealQuery
真实名称 ZwProtectVirtualMemory 修改内存状态
驱动提供 RealProtect
真实名称 ZwQuerySystemInformation 查询任何信息,服务,驱动,线程,句柄,钩子,等
驱动提供 RealQuerySys
驱动特别提供 GetFunctionAddr 取得 Zwxxx 的内核函数的真实地址,饶开SSDT干扰
图
下载地址(直接引用的邪恶八进制的地址,需要登录之后才能下载):
FishPE.rar
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论