版块
论坛
喜欢
话题
应用
搜索
登录
注册
aasa2的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=79273
有谁懂得进程隐藏的?
交流一下?有的书上说,用户层也可以使用ZwQuerySystemInformation,感到奇怪。aasa2@21cn.com[编辑 - 5/15/05 by aasa2]
回复
(
19
)
2005-05-15 09:12
来自版块 -
内核编程
◆
◆
表情
告诉我的粉丝
提 交
cicada
:
任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现,但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务(windows 2000)中看不到,要hook 什么函数啊? 是啊,这样如何办呢?
(2005-05-17 21:33)
回复
fenghaifu
:
任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现,但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务(windows 2000)中看不到,要hook 什么函数啊?
(2005-05-17 17:20)
回复
bmyyyud
:
wowocock曾经作了一个,哈哈可惜没代码。 wowocock那个估计不是用\"自己实现内核线程调度来隐藏.\"这个方法的
(2005-05-17 15:45)
回复
aasa2
:
wowocock曾经作了一个,哈哈可惜没代码。
(2005-05-17 12:53)
回复
bmyyyud
:
比较有用点的是自己实现内核线程调度来隐藏. 就是老外说的那个,老大实现了吗?
(2005-05-17 11:43)
回复
wowocock
:
其实内核hook zwquerysysteminformation已经很很好了,就是有点烦人。 安全是相对的。 bmyyyud说的很有理。 hook zwquerysysteminformation是最垃圾的方法,稍微垃圾点的是修改内核枚举连表. 比较有用点的是自己...
(2005-05-17 11:28)
回复
aasa2
:
其实内核hook zwquerysysteminformation已经很很好了,就是有点烦人。 安全是相对的。 bmyyyud说的很有理。
(2005-05-17 08:27)
回复
bmyyyud
:
交流一下? 有的书上说,用户层也可以使用ZwQuerySystemInformation,感到奇怪。 aasa2@21cn.com [编辑 - 5/15/05 by aasa2] 你要哪个级别的,这跟加密解密一样,道高一尺魔高一丈
(2005-05-16 09:17)
回复
zhaock
:
有这么做的,监视taskmrg,一旦发现taskmgr,远程注入taskmgr,hook ZwQuerySystemInformation,来隐藏自己, 想实现普遍意义上的隐藏,最好还是在0环通过hook KeServiceTable来实现
(2005-05-15 10:53)
回复
« 上一页
1
2
aasa2
加关注
写私信
0
关注
0
粉丝
399
帖子
返回顶部