阅读:1497回复:6
为什么隐藏了进程和端口FPort仍然可以看到?
RT,按照我所想的FPort的原理应该是用ZwQuerySystemInformation来取的信息,然后再列举进程用到的网络端口这样其实隐藏进程后就应该可以实现用Fport无法查看到情况了,但是实际上是隐藏进程虽然成功了,用各种工具似乎都看不到,但是一旦改进程和网络通讯建立了端口,那么用FPort就一览无遗了,于是进一步加入了端口隐藏也是成功隐藏(用Netstat无法看到)但是Fport下仍然显形,不知道哪位达人可以指教下下,不胜感激~~~
|
|
最新喜欢:threeb... |
沙发#
发布于:2004-09-24 13:36
RT,按照我所想的FPort的原理应该是用ZwQuerySystemInformation来取的信息,然后再列举进程用到的网络端口这样其实隐藏进程后就应该可以实现用Fport无法查看到情况了,但是实际上是隐藏进程虽然成功了,用各种工具似乎都看不到,但是一旦改进程和网络通讯建立了端口,那么用FPort就一览无遗了,于是进一步加入了端口隐藏也是成功隐藏(用Netstat无法看到)但是Fport下仍然显形,不知道哪位达人可以指教下下,不胜感激~~~ 看进程的工具也有很强的。居然敢说各种工具都看不到! :D |
|
板凳#
发布于:2004-09-24 14:59
那不知道FPort原理如何呐?如果能看到通过驱动拦截隐藏了的进程,那么这样的工具需要怎么样的技术呐?
|
|
地板#
发布于:2004-09-24 15:37
那不知道FPort原理如何呐?如果能看到通过驱动拦截隐藏了的进程,那么这样的工具需要怎么样的技术呐? fport 枚举的不是进程,我最近在别人blog看到的: http://www.blogcn.com/user17/pjf/blog/3937618.html 这篇的描述正好回答你问的"进程隐藏了为何还能看到" 另外强力工具很多,像冰刃什么的 |
|
地下室#
发布于:2004-09-28 15:45
fport是什么原理来查看的这个我并不是很清楚,但是过滤ZwDeviceIoControlFile这个函数确实可以实现对FPORT的隐藏,且可以躲避其2。0版本。不知道你说的这个进程是否也隐藏了,如果进程也隐藏了的,那就肯定可以,我试过的。
|
|
|
5楼#
发布于:2004-11-01 16:01
就算是进程和端口都隐藏了,但用fport或activer port都可以看到打开的端口和其对应的进程名及路径。楼上的兄弟,不知为何?
|
|
6楼#
发布于:2004-11-03 08:44
fport是读PEB来枚举进程的,当然用hook ZwQuerySystemInformation不管用
|
|