不懂硬编码~~~我才学写驱动,不过我觉得pspTerminateProcess好象很厉害的样子
想知道一下而已啊,不要说我写流氓软件嘛,我不是坏人来的……(2007-05-14 14:12)-
对于进程检测来说就是要尽可能枚举全系统内所有EPROCESS对象的指针。IceSword120_cn设了4道障碍来阻止及发现隐藏进程:1. 先调用ExEnumHandleTable函数枚举PspCidTable句柄表中所有进程对象的指针,将指针结合放到一个缓冲区中。2. 调用...全文
◆
◆
-
alphetwx:
不懂硬编码~~~我才学写驱动,不过我觉得pspTerminateProcess好象很厉害的样子
想知道一下而已啊,不要说我写流氓软件嘛,我不是坏人来的……(2007-05-14 14:12)
-
firabc:引用第16楼alphetwx于2007-05-12 21:59发表的“”: 躲有什么用呢???直接结束IceSword就算了,躲不起了,就杀吧!!!! 呵呵~~ 怎样可以关掉IceSword啊??请教各位牛人~~~pspTerminateProcess现在还有用吗? psp...(2007-05-12 23:25)
-
z.b.Azy:你是写流氓还是写rk啊,流氓的做法估计会让anti的作者们鄙视的(2007-05-12 22:19)
-
alphetwx:躲有什么用呢???直接结束IceSword就算了,躲不起了,就杀吧!!!! 呵呵~~ 怎样可以关掉IceSword啊??请教各位牛人~~~pspTerminateProcess现在还有用吗?(2007-05-12 21:59)
-
flying2008:引用第14楼killvxk于2007-04-30 10:37发表的“”: .... 要判断有效性~ 多谢大牛:)(2007-04-30 11:21)
-
killvxk:.... 要判断有效性~(2007-04-30 10:37)
-
flying2008:"4. 从0x81000030-0x8116xxxx之间搜索EPROCESS结构指针。" 该如何扫描内存? 我做了一个暴力搜索,结果蓝屏,比如:0x81277656 地址处为<???>(这是什么意思),觉得该地址不会没有内容吧(2007-04-29 22:14)
-
cardmagic:引用第10楼kernel_kernel于2007-04-24 10:43发表的“”: 早试过了,不是可能有问题,是肯定有问题。像2000涂掉pid就崩 这个也不定 要看情况(2007-04-29 10:21)
-
z.b.Azy:恩,崩溃确实很有可能,我也只是在xp sp2下试过,代码是在fu上加的, pid赋的0xffffffff(2007-04-24 15:22)
-
kernel_kernel:引用第9楼cardmagic于2007-04-24 10:02发表的“”: 这种涂改可能会有问题,我在机器上改了notepad后,系统崩溃。(我机器上只装了TrendMicro Officescan)
早试过了,不是可能有问题,是肯定有问题。像2000涂掉pid就崩(2007-04-24 10:43)
