-
交流一下?有的书上说,用户层也可以使用ZwQuerySystemInformation,感到奇怪。aasa2@21cn.com[编辑 - 5/15/05 by aasa2]
◆
◆
-
cicada:任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现,但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务(windows 2000)中看不到,要hook 什么函数啊? 是啊,这样如何办呢?(2005-05-17 21:33)
-
fenghaifu:任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现,但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务(windows 2000)中看不到,要hook 什么函数啊?(2005-05-17 17:20)
-
bmyyyud:wowocock曾经作了一个,哈哈可惜没代码。 wowocock那个估计不是用\"自己实现内核线程调度来隐藏.\"这个方法的(2005-05-17 15:45)
-
aasa2:wowocock曾经作了一个,哈哈可惜没代码。(2005-05-17 12:53)
-
bmyyyud: 比较有用点的是自己实现内核线程调度来隐藏. 就是老外说的那个,老大实现了吗?(2005-05-17 11:43)
-
wowocock:其实内核hook zwquerysysteminformation已经很很好了,就是有点烦人。 安全是相对的。 bmyyyud说的很有理。 hook zwquerysysteminformation是最垃圾的方法,稍微垃圾点的是修改内核枚举连表. 比较有用点的是自己...(2005-05-17 11:28)
-
aasa2:其实内核hook zwquerysysteminformation已经很很好了,就是有点烦人。 安全是相对的。 bmyyyud说的很有理。(2005-05-17 08:27)
-
bmyyyud:交流一下? 有的书上说,用户层也可以使用ZwQuerySystemInformation,感到奇怪。 aasa2@21cn.com [编辑 - 5/15/05 by aasa2] 你要哪个级别的,这跟加密解密一样,道高一尺魔高一丈(2005-05-16 09:17)
-
zhaock:有这么做的,监视taskmrg,一旦发现taskmgr,远程注入taskmgr,hook ZwQuerySystemInformation,来隐藏自己, 想实现普遍意义上的隐藏,最好还是在0环通过hook KeServiceTable来实现 (2005-05-15 10:53)
