-
首先申明一下,内容超过1500,发信不行,所以发版上来,恳请版主照顾。同时,这个思路是killvxk给我回信提供得,非常谢谢他。在此点名,有违版规矩,也是不得以。感谢killvxk,WQXNETQIQI,版主等大牛!============================这个问题...全文
◆
◆
-
niumowangmeng:rootkit.com上的方法简单、易用、不容易出错(2008-03-19 09:31)
-
formytest:原来handle就是指针,每次open返回的是一个重复使用的地方。呵呵。 搞明白了。(2007-04-10 00:28)
-
formytest:openprocess返回的handle跟 NtQueryInformationProcess( IN HANDLE ProcessHandle, 第一个参数是一个吗? 另外,发现openprocess打开很多进程的返回handle怎么是一个数 ,比较奇怪?...(2007-04-09 18:44)
-
formytest:我的代码是从codeproject下的一个能够监视控制进程的代码, http://www.codeproject.com/system/soviet_protector.asp 所以就直接在上面改的。 另外: 1.有没有看一个进程得handle得方法???一般工具都只有 proc...(2007-04-09 10:18)
-
WQXNETQIQI:handle好象process explorer可以看?或者softice也可以好象 你也可以自己获取一下然后DbgPrint一下看(2007-04-09 10:01)
-
killvxk:看Rootkit.com或者regmon的方法,你用的方法属于hook中的歪门邪道的一种~(2007-04-09 07:57)
-
formytest:参考下rootkit.com里的基础级SSDT HOOK吧 ~~~~~~~~~~~· 我只搜到了SSDT hook example (hiding processes) correction这个文章, 作用也不是很大,能推荐点好的不。 谢谢了!(2007-04-09 00:13)
-
formytest:WQXNETQIQI,多谢您! 正按照您得想法在做,我想问一下您们,有没有看一个进程得handle得方法???一般工具都只有 process id,没有process handle。如果能看handle,我好测试我得代码对不对。 MyNtCreateThread相当于下面Pro...(2007-04-08 21:31)
-
WQXNETQIQI:拿自己的NtCreateThread函数地址替换原ssdt中地址,然后直接在MyNtCreateThread中就可以得到hProcess啦,最后不要忘了调用OldNtCreateThread哦(2007-04-08 19:47)
-
formytest:我还是不知道怎么取出hprocess句柄。 rootkit.com里的基础级SSDT HOOK ~~~~~~目前正在看这里面得东西,SSDT HOOK能搞定取参数吧? 我得代码也是从codeproject下载得,呵呵。 不用汇编取参数~替换SSDT内地址Hook比较简单... ...(2007-04-08 18:35)
