检测隐藏进程的疑问

楼主^#

更多发布于：2007-03-30 23:50

我看过 klister 0.4版本,但是只有2000平台的
基本思想是通过遍历3条线程调度链来获取进程信息.

我想做一个类似的不过在XP下实现
我用的两个调度链KiWaitListHead和KiDispatcherReadyListHead和2000不同
但是我得出的结果比真实的要少,而且每次可能不一样

请问是为什么呢?
会不会XP还存在其他的调度链?

喜欢0

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

沙发^#

发布于：2007-03-31 11:28

windbg里看看就知道有多少可以找的链了~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

板凳^#

发布于：2007-04-02 08:56

XP下那么做没意义,详细参考老V狂发的帖子.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

flying2008 驱动牛犊注册日期2005-12-15 最后登录2010-04-02 粉丝0 关注0 积分695分威望85点贡献值0点好评度67点原创分0分专家分0分加关注写私信	地板^# 发布于：2007-04-02 09:31 以前看过一个例子是hook swapcontext（）函数，但是此方法检测隐藏进程耗时、耗力。
	回复(0) 喜欢(0)

flying2008 驱动牛犊注册日期2005-12-15 最后登录2010-04-02 粉丝0 关注0 积分695分威望85点贡献值0点好评度67点原创分0分专家分0分加关注写私信	地下室^# 发布于：2007-04-02 09:33 *引用第2楼wowocock于2007-04-02 08:56发表的“”*: XP下那么做没意义,详细参考老V狂发的帖子. 老V狂发的帖子没搜到啊，能否提供一个连接
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

5楼^#

发布于：2007-04-02 10:09

hook swapcontext 很好
处理得当就可

驱动开发者呵呵

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

6楼^#

发布于：2007-04-02 11:33

KiReadyThread上挂钩

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

firabc 驱动牛犊注册日期2004-10-10 最后登录2007-10-20 粉丝0 关注0 积分410分威望42点贡献值0点好评度42点原创分0分专家分0分加关注写私信	7楼^# 发布于：2007-04-02 12:52 swapcontext ,KiReadyThread HOOK感觉不好的，容易发现的，希望有可能实现不用HOOK的
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

检测隐藏进程的疑问

最新喜欢：