-
任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现,但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务(windows 2000)中看不到,要hook 什么函数啊?
◆
◆
-
fenghaifu:我不是很会用soft ice,大家做进程隐藏时难道没有碰到过这个问题吗?(2005-05-18 10:21)
-
zhaock:那你就用ice跟踪一下,确认它是不是调的wmi接口吧。在用ida静态的反一下找找是不是调用了wmi的函数什么的。不熟悉wmi.(2005-05-18 10:10)
-
fenghaifu:根据我的程序来看,它并不是通过NtQuerySystemInformation来获取进程列表的,因为我做api钩子的时候,是钩所有进程的,如果是的话,应该就可以了,但是现在不行,我怀疑是不是通过wmi接口来查的。(2005-05-18 09:33)
-
zhaock:任务管理器中的隐藏已经实现了。但是另外一个地方的隐藏,找不到1楼所说的那个程序啊。我的思路是通过api hook 的方法,所以想找到另一个地方调用的api。在2楼所说的帖子我已经问过一次了,还是一楼所说的方法。但是好象不行 。我hook NtQuerySystemInformat...(2005-05-18 09:28)
-
fenghaifu:任务管理器中的隐藏已经实现了。但是另外一个地方的隐藏,找不到1楼所说的那个程序啊。我的思路是通过api hook 的方法,所以想找到另一个地方调用的api。在2楼所说的帖子我已经问过一次了,还是一楼所说的方法。但是好象不行 。我hook NtQuerySystemInformat...(2005-05-18 09:06)
-
bmyyyud:看这个 http://www.driverdevelop.com/forum/html_92153.html?1116377934 wowocock的回答是经典(2005-05-18 08:59)
-
zhaock:我已经回答过了,就再回答一遍,挣点分吧 有的木马是这么做的,是定时例如1m检查进程,还是安装个全局钩子有点记不清了,如发现taskmgr.exe起来了,远程注入taskmgr.exe,修改ntdll中的zwquerysysteminformation来隐藏。这样就不需要写驱...(2005-05-17 22:42)
