TC官方合作论坛

标题: [HS]ImagePath地址获取 [打印本页]
作者: 如此美丽。    时间: 2014-7-25 16:26
标题: [HS]ImagePath地址获取

                               前言:   没有回复可见 允许看完不回   允许跟帖侮辱  可以认为这是随意的复制粘贴   我不介意    我只是今天手贱发了一贴      
                                          如何实现请自行动手  ..  我不单独为某人讲解或给你封个现成的插件    (因为我已经不相信什么雷锋了 ..  )
                               ImagePath 即 映像路径
                              执行程式的时候 系统会建立一些资料区块 里面放了该程式执行时的一些资料 等 而ImagePath就是其中的一项
                              而 HackShield 对  打开进程  写内存  读内存 修改内存属性 等函数上做了hook  
                              你每次去调用这些功能的时候操作它 它会查看你的进程ImagePath是否是非他白名单上的进程 否则都会被拒绝

                              那我们怎么来进入白名单呢?   就是改自己ImagePath伪装成系统进程    (svchost.exe 或者其他系统进程)

                              如何取自身ImagePath地址呢

  1. Hex数据: 64A1300000008B401083C03C8B00C9C3


  4. 汇编代码:
  5. 64:A1 30000000          mov eax,dword ptr fs:[0x30]
  6. 8B40 10                       mov eax,dword ptr ds:[eax+0x10]
  7. 83C0 3C                       add eax,0x3C
  8. 8B00                            mov eax,dword ptr ds:[eax]
  9. C9                                leave
  10. C3                                retn

  12. 调用这个Call 返回的EAX就是ImagePath地址
复制代码
       经测试  其实只要TC不更新exebak.bak或者vbak.bak都是固定的ImagePath   因为TC的代码和界面都是打包进资源的
        有了地址 我们就可以用OD跳到这个地址查看就会知道 就是我们程序路径  我们只是需要改成   OS:\windows\system32\svchost.exe   (OS代表系统盘符 一般默认都是C)

        恩 就到这里了  ..       (某些人 你们就可以开始了  .. )      


作者: 如此美丽。    时间: 2014-7-25 16:27
      楼主已疯   家里没电没水没上淘宝     ..   谢谢
作者: as128214121    时间: 2014-7-25 16:41
如此美丽。 发表于 2014-7-25 16:27
楼主已疯   家里没电没水没上淘宝     ..   谢谢

[attach]16653[/attach]
作者: fpx90    时间: 2014-7-25 18:20
看不懂,顶一下
作者: jianqiumy    时间: 2014-7-25 21:54
刚好路过~~代码也看了~~不顶一下对不起美丽
作者: cylhb    时间: 2014-7-26 00:36
各种美丽啊。。mark!
作者: zxx520zxx    时间: 2014-8-4 14:51
虽然看不懂。踩个脚印下次估计就懂了




欢迎光临 TC官方合作论坛 (http://bbs.52tc.co/) Powered by Discuz! X3.1