为什么隐藏了进程和端口FPort仍然可以看到？

楼主^#

更多发布于：2004-09-24 09:12

ＲＴ，按照我所想的FPort的原理应该是用ZwQuerySystemInformation来取的信息，然后再列举进程用到的网络端口这样其实隐藏进程后就应该可以实现用Fport无法查看到情况了，但是实际上是隐藏进程虽然成功了，用各种工具似乎都看不到，但是一旦改进程和网络通讯建立了端口，那么用FPort就一览无遗了，于是进一步加入了端口隐藏也是成功隐藏（用Netstat无法看到）但是Fport下仍然显形，不知道哪位达人可以指教下下，不胜感激～～～

喜欢1

最新喜欢：

threeb...

kernel_kernel

驱动小牛

注册日期2002-12-08
最后登录2009-02-06
粉丝0
关注0
积分435分
威望51点
贡献值0点
好评度41点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2004-09-24 13:36

ＲＴ，按照我所想的FPort的原理应该是用ZwQuerySystemInformation来取的信息，然后再列举进程用到的网络端口这样其实隐藏进程后就应该可以实现用Fport无法查看到情况了，但是实际上是隐藏进程虽然成功了，用各种工具似乎都看不到，但是一旦改进程和网络通讯建立了端口，那么用FPort就一览无遗了，于是进一步加入了端口隐藏也是成功隐藏（用Netstat无法看到）但是Fport下仍然显形，不知道哪位达人可以指教下下，不胜感激～～～

看进程的工具也有很强的。居然敢说各种工具都看不到! :D

回复喜欢

thbnth 驱动牛犊注册日期2004-09-07 最后登录2004-11-25 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2004-09-24 14:59 那不知道FPort原理如何呐？如果能看到通过驱动拦截隐藏了的进程，那么这样的工具需要怎么样的技术呐？
	回复(0) 喜欢(0)

kernel_kernel

驱动小牛

注册日期2002-12-08
最后登录2009-02-06
粉丝0
关注0
积分435分
威望51点
贡献值0点
好评度41点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2004-09-24 15:37

那不知道FPort原理如何呐？如果能看到通过驱动拦截隐藏了的进程，那么这样的工具需要怎么样的技术呐？

fport 枚举的不是进程，我最近在别人blog看到的：
http://www.blogcn.com/user17/pjf/blog/3937618.html
这篇的描述正好回答你问的"进程隐藏了为何还能看到"
另外强力工具很多，像冰刃什么的

回复喜欢

liwashington

驱动小牛

注册日期2004-04-30
最后登录2010-10-21
粉丝0
关注0
积分-11分
威望98点
贡献值1点
好评度12点
原创分0分
专家分0分

加关注写私信

地下室^#

发布于：2004-09-28 15:45

fport是什么原理来查看的这个我并不是很清楚，但是过滤ZwDeviceIoControlFile这个函数确实可以实现对FPORT的隐藏，且可以躲避其2。0版本。不知道你说的这个进程是否也隐藏了，如果进程也隐藏了的，那就肯定可以，我试过的。

我只想有个好老婆，每天有几顿好饭吃……

回复喜欢

threebags 驱动牛犊注册日期2004-07-01 最后登录2012-04-10 粉丝0 关注0 积分5分威望12点贡献值0点好评度8点原创分0分专家分0分加关注写私信	5楼^# 发布于：2004-11-01 16:01 就算是进程和端口都隐藏了，但用fport或activer port都可以看到打开的端口和其对应的进程名及路径。楼上的兄弟，不知为何？
	回复(0) 喜欢(0)

coffeeqiqidown 驱动牛犊注册日期2004-11-03 最后登录2004-11-04 粉丝0 关注0 积分0分威望0点贡献值0点好评度0点原创分0分专家分0分加关注写私信	6楼^# 发布于：2004-11-03 08:44 fport是读PEB来枚举进程的，当然用hook ZwQuerySystemInformation不管用
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册