有谁懂得进程隐藏的？

交流一下?
有的书上说，用户层也可以使用ZwQuerySystemInformation，感到奇怪。

aasa2@21cn.com

[编辑 -  5/15/05 by  aasa2]

有这么做的，监视taskmrg,一旦发现taskmgr,远程注入taskmgr,hook
ZwQuerySystemInformation，来隐藏自己，
想实现普遍意义上的隐藏，最好还是在0环通过hook KeServiceTable来实现

交流一下?
有的书上说，用户层也可以使用ZwQuerySystemInformation，感到奇怪。

aasa2@21cn.com

[编辑 -  5/15/05 by  aasa2]

你要哪个级别的,这跟加密解密一样,道高一尺魔高一丈

其实内核hook zwquerysysteminformation已经很很好了，就是有点烦人。

安全是相对的。
bmyyyud说的很有理。

其实内核hook zwquerysysteminformation已经很很好了，就是有点烦人。

安全是相对的。
bmyyyud说的很有理。

hook zwquerysysteminformation是最垃圾的方法,稍微垃圾点的是修改内核枚举连表.
比较有用点的是自己实现内核线程调度来隐藏.
还好的方法,目前没有,因为上面的隐藏进程都可以被检测出来.....

比较有用点的是自己实现内核线程调度来隐藏.

就是老外说的那个,老大实现了吗?

wowocock曾经作了一个，哈哈可惜没代码。

wowocock曾经作了一个，哈哈可惜没代码。

wowocock那个估计不是用\"自己实现内核线程调度来隐藏.\"这个方法的

任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现，但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务（windows 2000）中看不到，要hook 什么函数啊？

任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现，但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务（windows 2000）中看不到，要hook 什么函数啊？

是啊，这样如何办呢？

[quote]任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现，但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务（windows 2000）中看不到，要hook 什么函数啊？

是啊，这样如何办呢？ [/quote]

有的木马是这么做的，是定时例如1m检查进程,还是安装个全局钩子有点记不清了，如发现taskmgr.exe起来了，远程注入taskmgr.exe,修改ntdll中的zwquerysysteminformation来隐藏。这样就不需要写驱动了，毕竟对于没有做过驱动的程序员来说，上来写个驱动还是很麻烦的。
对于你说的系统信息这个程序是helpctr.exe,上面是判断进程名字是
taskmgr.exe,那就再加上个helpctr.exe,总之进程名字满足你记录的文件列表中的文件名，都去hook zwquerysysteminformation就好了。

如果不用驱动来实现，除此以外，是不是也没有什么好办法了？

有个 win32 API 函数可以实现.

楼上的，什么函数能实现啊？

任务管理器中的隐藏可以通过api hook函数NtQuerySystemInformation来实现，但是要在附件-》系统工具-》系统信息-》软件环境-》正在运行任务（windows 2000）中看不到，要hook 什么函数啊？

如果写驱动劫持,那么要hook什么函数呢?

应该是ZwQuerySystemInformation吧。

应该是ZwQuerySystemInformation吧。

你不是讲不行的么？

使用Hook ZwQuerySystemInformation实现的隐藏，在附件-》系统工具-》系统信息-》软件环境-》正在运行任务（windows 2000）中是看不到的。

hook ZwQuerySystemInformation能实现任务管理器隐藏，但是在附件-》系统工具-》系统信息-》软件环境-》正在运行任务（windows 2000）也可以吗？楼上的试过？

楼上的两位讲的都这么肯定，到底哪一个是错的呢？
fenghaifu：你试过没有啊？

我搞错了，我最后在驱动层hook ZwQuerySystemInformation，问题都解决了。开始是在应用层hook了NtQuerySystemInformation，那样造成了不能完全隐藏。