關於ark取得程序的映象檔案路徑

2022-08-18 17:24:11 字數 1498 閱讀 8268

最近看到乙個trojan把自己拷到**站裡隱藏,然後發現我兩萬年前寫的ark取得的程序路徑還是原路徑。。。

突然想起來很久以前看到某群的討論

拿破倫19:22:03

話說,乙個執行中的檔案,然後移動他到其他目錄~~

拿破倫19:22:33

有些檢測他的路徑會變成新的目錄

kkindof 19:23:05

丫的,這是面試題吧

drl不愛天使 19:23:06

嗯drl不愛天使 19:23:32

你說的是win7麼

拿破倫 19:23:43

恩啊drl不愛天使 19:23:59

xp就不會

拿破倫 19:24:16

我在g盤根目錄下執行的

drl不愛天使 19:24:50

7的檔案管理很優越

拿破倫 19:24:53

為啥win7可以了

拿破倫 19:25:06

這個能用來幹壞事不

拿破倫 19:25:16

移動乙個被占用的檔案感覺。。。

drl不愛天使 19:25:36

不知道 我是好人

drl不愛天使 19:25:40

拿破倫 19:26:30

是啊,移動不會提示被占用。。。這個沒想通

kkindof 19:27:00

幹啥,如果獨佔的就不能移動了

拿破倫 19:27:28

這個是程式開啟,不知道怎麼設定獨佔啊

kkindof 19:35:10 

你就是說執行了後,然後就移動,這樣別人掃瞄程序列表就掃不出正確的路徑? 

拿破倫 19:35:21 

嗯 寧妖01 19:35:34 

額 拿破倫 19:35:35 

啟動是的路徑不對了 

其實xp和win7下都是可以的,已經跑起來的程序,他的可執行檔案只要在當前碟符下,隨便移動。移動之後任務管理器可能會得不到程序已經變更的可執行檔名。

程序的檔名更改之後 eprocess的uchar imagefilename[16];不會更新。se_audit_process_creation_info seauditprocesscreationinfo;也不會主動更新

網上比較多的**是找 eprocess → sectionobject. _segment_object →_segment→_control_area→_file_object

然後從 _file_object的filename結合rtlvolumedevicetodosname去取路徑

一般情況下是ok的。但當程序執行起來之後,如果對映象檔案重新命名,這時候再從_file_object的filename去取路徑就只有原路徑了

得到更改後路徑的方法是得到file_object之後去調obquerynamestring,(也可以自己實現obquerynamestring,直接發irp)

詳見ntqueryinformationprocess的實現

閱讀全文

類別:核心

Android映象檔案的拆解

ramdisk initrd 是乙個小的分割槽映象,在引導時核心以唯讀方式掛載它。它只保護 init和一些配置檔案。它用於初始化和掛載其它的檔案系統映象。ramdisk是乙個標準的linux特性。ramdisk.img被包含google android sdk中 sdk root tools lib...

修改映象檔案的大小

修改映象檔案的大小 方式一 建立乙個新的映象,然後複製內容 1.新建乙個映象檔案new.img dd if dev zero of new.img bs 1m count 4096 2.分別建立新舊映象檔案的掛載點 mkdir oldmnt mkdir newmnt 3.分別將新舊映象檔案與loop...

Linux FresBSD的映象檔案說明

第乙個是可以引導的光碟,只能引導系統,通常用於網路安裝。基本沒用。第二個是系統光碟的第一張。用這張就可以安裝乙個基本的系統。其他的軟體,在系統安裝完之後安裝。第三個是系統盤的 版本。包括的軟體比上乙個多一點。不過這些軟體通過網路也可以安裝。看你的網速了。快的話,沒用必要用這個。第四個是livecd。...