tiangao 发表于 2023-11-10 09:19:35

KProtect价值3000元的公司级反调试产品 还原复现开源


KProtect价值3000元的公司级反调试产品 还原复现开源

0x00 前言
该项目仅仅只是对 某总口中价值3000元/月公司级反调试产品 $KProtect 的还原复现
加上少量的代码优化 减少了很多硬编码 整个项目 Ring0+Ring3 实际功能代码不超过400行

0x01 隐藏进程
原理没什么多说的,基本就是 @xiaofu 所分析的
将 EPROCESS->InheritedFromUniqueProcessId 置为 System
将 EPROCESS->UniqueProcessId 置为 winlogon.exe(其他系统进程皆可)
通过动态获取 InheritedFromUniqueProcessId 和 UniqueProcessId 偏移 提高兼容性
值得注意的是,此方法会在 低版本 Win7系统 任务管理器 出现 Bug
现象是 winlogon 的进程会疯狂增加 且增加的进程 Pid 为 -1
(仅仅只是任务管理器表项增加 实际进程只有一个)
在高版本 Win7 和 Win10 没有此现象

**** Hidden Message *****

1aa82e 发表于 2024-3-20 19:46:48

什么东西?         

hcjnx 发表于 2024-3-28 17:44:45

看看源码的实现

gg666 发表于 2024-4-7 11:31:06

好好学习天天向上

10000 发表于 2024-4-12 14:45:01

好好学习

210001480 发表于 2024-4-12 17:44:52

看看         

cjlovefree 发表于 2024-4-22 15:04:11

感谢分享:lol

a6627450 发表于 2024-5-13 14:38:23

kan kan shi shen me

yuntang 发表于 2024-5-29 13:31:32

看一看瞧一瞧了谢谢

z083957 发表于 2024-6-11 15:25:16

在高版本 Win7 和 Win10 没有此现象啊
页: [1] 2
查看完整版本: KProtect价值3000元的公司级反调试产品 还原复现开源