|
 | 作者: tabris17 [tabris17]
 论坛用户 |
登录 |
| http://www.20cn.net/~tabris17/article/p025.html |
| 地主 发表时间: 04-01-09 11:02 |
 | 回复: allyesno [allyesno] 论坛用户 |
登录 |
|
good |
| B1层 发表时间: 04-01-09 11:15 |
 | 回复: tuzi [tuzi]  版主 |
登录 |
|
不错 长见识了 呵呵 谢谢了 |
| B2层 发表时间: 04-01-09 13:35 |
| 回复: tabris17 [tabris17] 论坛用户 |
登录 |
|
后来想了想,说不定用GetModuleFileNameW就可以直接获得模块名字符串的地址,没试过,仅仅是猜想 |
| B3层 发表时间: 04-01-11 18:26 |
 | 回复: newmyth21 [newmyth21] 论坛用户 |
登录 |
 |
| B4层 发表时间: 04-01-11 23:42 |
 | 回复: ok0ok [ok0ok]  论坛用户 |
登录 |
|
请问有什么简单的方法来来变 LDR_MODULE ?让它变成其它进程名? |
| B5层 发表时间: 04-02-07 23:25 |
 | 回复: sinister [sinister]  论坛用户 |
登录 |
|
PEB 地址应该是可写的,找到后直接修改即可。万一碰到什么特殊情况也可以用 VirtualProtect 来修改页属性。 |
| B6层 发表时间: 04-02-08 02:23 |
| 回复: ok0ok [ok0ok] 论坛用户 |
登录 |
|
请问能不能具体教一下?谢谢 |
| B7层 发表时间: 04-02-08 12:34 |
| 回复: sinister [sinister] 论坛用户 |
登录 |
|
其实修改 RTL_USER_PROCESS_PARAMETERS 中的 ImagePathName 即可改变进程名。LDR_MODULE 中的 LIST 可以枚举进程中所有 MODULE ,里面包括名字,即 DLL NAME。如果这么说,还不 是很明白的话,那就先查找下相关资料吧,网上有不少。 上面这种修改方式,对任务管理器不起作用,要想彻底修改,需要修改 NT内核结构 EPROCESS 中的 ImageFileName。顺便提一句,修改内核结构,不一定非要切换到 ring 0 下。NT 提供了 一个物理内存设备,默认是只读,通过添加 ACE 可以让其成为可写。这样就可以在 ring 3 下读/写物理内存。 pjf 给出了具体实现。其实这种实现方法可以做很多工作。具体能做什么 那就要看你对保护模式,操作系统的了解和编码功力了。 |
| B8层 发表时间: 04-02-09 23:14 |
| 回复: tabris17 [tabris17] 论坛用户 |
登录 |
|
to sinister: 邮件收到,谢谢啦 |
| B9层 发表时间: 04-02-14 19:45 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 通过PEB改变进程名,实现“穿透”防火墙