|
阅读:3290回复:13
感觉其实隐藏进程用处不大。
你能隐藏到系统都找不到你了,那系统怎么跟你分配CPU时间呢?
|
|
|
沙发#
发布于:2007-04-05 12:42
那也未必啊
|
|
|
板凳#
发布于:2007-04-07 00:11
双向链表的典型例子就是进程和线程链。内部变量PsActiveProcessHead是一个LIST_ENTRY结构,在ntoskrnl.exe的数据段中,指定了系统进程列表的第一个成员。仔细想想,如果我们将进程对象从进程双向链表中移除,那么调用NtQuerySystemInformation来枚举进程的任务管理器taskmgr.exe中就不会看到我们的进程了。那么就有人会担心了。如果进程从链表中删除,那还会被运行么?答案是,会。因为windows的ds,也就是线程分派器,也叫任务调度分配器(dispatcher scheduler)使用的是另一个数据结构,也就是说,进线程是否被调度处理与进程双向活动链表无关,不会被CPU忽略,不必担心
|
|
|
地板#
发布于:2007-04-07 13:05
除非你在内存里没有SectionObject和FileObject和EPROCESS的pool,否则还是会被找出来
|
|
|
|
地下室#
发布于:2007-04-07 17:46
应该是kiwaitlisthead
|
|
|
5楼#
发布于:2007-04-07 21:40
KiWait之类的,貌似还是可以搞的~
|
|
|
|
6楼#
发布于:2007-04-07 21:41
将原先的链复制到新链,然后替换之~~
再把原有的链断开~~ 貌似SoBeIt的那个思路就是这样的 |
|
|
|
7楼#
发布于:2007-04-08 19:07
rk只要做到让主流的anti查不到就行了吧 不用隐的太。。。。
|
|
|
8楼#
发布于:2007-09-26 14:02
不是系统找不到,是上层的应用软件找不到。在底层该干什么还干什么,和其他不隐藏的完全一样。
|
|
|
9楼#
发布于:2007-09-26 21:20
VM OS
|
|
|
|
10楼#
发布于:2007-09-27 21:35
引用第9楼killvxk于2007-09-26 21:20发表的 : yes,趁ring 1还么有人,赶紧躲进去  |
|
|
11楼#
发布于:2008-02-26 10:37
古人早就说过了
小隐隐于野,中隐隐于市,大隐隐于朝 我们考虑问题应该上升到哲学的层次 |
|
|
12楼#
发布于:2008-02-26 14:13
小隐隐于List,中隐隐于Pool,大隐隐于Hardware。
|
|
|
13楼#
发布于:2008-02-26 23:02
没有啥新玩意~
|
|
|