[HS]ImagePath地址获取

如此美丽。

                               前言:   没有回复可见 允许看完不回   允许跟帖侮辱  可以认为这是随意的复制粘贴   我不介意    我只是今天手贱发了一贴      
                                          如何实现请自行动手  ..  我不单独为某人讲解或给你封个现成的插件    (因为我已经不相信什么雷锋了 ..  )
                               ImagePath 即 映像路径
                              执行程式的时候 系统会建立一些资料区块 里面放了该程式执行时的一些资料 等 而ImagePath就是其中的一项
                              而 HackShield 对  打开进程  写内存  读内存 修改内存属性 等函数上做了hook  
                              你每次去调用这些功能的时候操作它 它会查看你的进程ImagePath是否是非他白名单上的进程 否则都会被拒绝

                              那我们怎么来进入白名单呢?   就是改自己ImagePath伪装成系统进程    (svchost.exe 或者其他系统进程)

                              如何取自身ImagePath地址呢

1. Hex数据: 64A1300000008B401083C03C8B00C9C3
   
2. 
   
3. 
   
4. 汇编代码:
   
5. 64:A1 30000000          mov eax,dword ptr fs:[0x30]
   
6. 8B40 10                       mov eax,dword ptr ds:[eax+0x10]
   
7. 83C0 3C                       add eax,0x3C
   
8. 8B00                            mov eax,dword ptr ds:[eax]
   
9. C9                                leave
   
10. C3                                retn
    
11. 
    
12. 调用这个Call 返回的EAX就是ImagePath地址

复制代码

       经测试  其实只要TC不更新exebak.bak或者vbak.bak都是固定的ImagePath   因为TC的代码和界面都是打包进资源的
        有了地址 我们就可以用OD跳到这个地址查看就会知道 就是我们程序路径  我们只是需要改成   OS:\windows\system32\svchost.exe   (OS代表系统盘符 一般默认都是C)

        恩 就到这里了  ..       (某些人 你们就可以开始了  .. )      

fpx90

看不懂，顶一下

如此美丽。

      楼主已疯   家里没电没水没上淘宝     ..   谢谢

as128214121

如此美丽。 发表于 2014-7-25 16:27
楼主已疯   家里没电没水没上淘宝     ..   谢谢

jianqiumy

刚好路过~~代码也看了~~不顶一下对不起美丽

cylhb

各种美丽啊。。mark!

zxx520zxx

虽然看不懂。踩个脚印下次估计就懂了