()驱动级【进程信息伪装】只支持 64位系统

莫爱 · 发表于 2018-8-24 15:07:12

本帖最后由莫爱于 2018-8-24 15:24 编辑

输入 Pid 就可以了

伪装进程名字

伪造进程路径

驱动没有签名，需要F8  设置

支持 win7 64x win 10

Win 10 系统需要自己观察，我这测试了2个小时

win7 64x 24小无蓝屏，有蓝屏，发蓝屏文件上来

===========成品，调用例子和部分资料==========

/*
+0x2e0 ImageFileName : [15]  "svchost.exe"

0: kd> dt _SE_AUDIT_PROCESS_CREATION_INFO fffffa80037a7b30+0x390
nt!_SE_AUDIT_PROCESS_CREATION_INFO
+0x000 ImageFileName : 0xfffffa80`037a89b0 _OBJECT_NAME_INFORMATION

PEB ProcessParameters : _UNICODE_STRING "C:\Windows\System32\svchost.exe"
+0x060 ImagePathName : _UNICODE_STRING "C:\Windows\System32\svchost.exe"
+0x070 CommandLine
+0x080 Environment    : 0x00000000`02932eb0 Void
+0x088 StartingX       : 0
+0x08c StartingY       : 0
+0x090 CountX          : 0
+0x094 CountY          : 0
+0x098 CountCharsX    : 0
+0x09c CountCharsY    : 1
+0x0a0 FillAttribute : 0x175
+0x0a4 WindowFlags    : 1
+0x0a8 ShowWindowFlags  : 1
+0x0b0 WindowTitle    : _UNICODE_STRING "C:\Windows\System32\svchost.exe"
+0x0c0 DesktopInfo    : _UNICODE_STRING "Winsta0\Default"
+0x0d0 ShellInfo       : _UNICODE_STRING "C:\Windows\System32\svchost.exe"

InLoadOrderModuleList InMemoryOrderLinks是同一片内存区域(前者+0x10就是后者只需要改一个地方就行最好前者)
*/