sc106 发表于 2023-11-23 09:15
我感觉你应该写成dll,然后永久注入到系统进程里,这样就找不到了,我不会c++写不来这种 比如 对比我的硬件 ...
类似原理的后门群里已经有实现的了
sc106 发表于 2023-11-23 09:17
易语言写出来又是x86的用不了,
未必是驱动,类似原理可以写成程序放到启动里
学习学习
shaokui123 发表于 2023-11-23 13:24
类似原理的后门群里已经有实现的了
后门群是什么,拉我....
sc106 发表于 2023-11-23 18:14
后门群是什么,拉我....
自己搜索很多的
不过别想着免费,都是要收费才教技术的
感谢分享,谢谢
本帖最后由 boot 于 2023-11-24 13:33 编辑
shaokui123 发表于 2023-11-23 13:25
未必是驱动,类似原理可以写成程序放到启动里
写成程序,个人认为用处也不大。你能阻止别人通过载入PE平台后用第三方工具删除暗桩?
sc106 发表于 2023-11-23 09:15
我感觉你应该写成dll,然后永久注入到系统进程里,这样就找不到了,我不会c++写不来这种 比如 对比我的硬件 ...
已经有完美的框架了,通过驱动实现注入dll,并且在驱动层和用户层分别比对机器码。
boot 发表于 2023-11-24 13:35
已经有完美的框架了,通过驱动实现注入dll,并且在驱动层和用户层分别比对机器码。 ...
这个效果是有了,但是控制有点麻烦。在群里看他们讨论就是改那个底层文件,系统启动是加载哪个底层文件的,里面东西不对系统就异常
shaokui123 发表于 2023-11-25 20:42
这个效果是有了,但是控制有点麻烦。在群里看他们讨论就是改那个底层文件,系统启动是加载哪个底层文件的 ...
应该和nt****.exe 或者.sys的校验和有关。