[求助]关于进程隐藏的一点问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 2 楼进程ID是pspcidtable的索引，0x64c是Csrss自己句柄表的索引，两者没关系。PsLookup**函数会去访问pspcidtable，而且很多函数里面会调用到PsLookup**函数，抹了这里面的后“可能”会让进程无法正常工作。 2012-3-29 09:14 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼感谢KiDebug的提示，现在发现使用ExEnumHandleTable遍历CSRSS的句柄表得到的Object的值没有待隐藏的进程的EPROCESS对象和其线程ETHREAD地址。。。是不是可能本来就没有？现在还是过不了RKU。冰刃蓝屏、Xuetr过了 2012-3-29 14:36 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 4 楼求样本，我看下我的ark是否能过。 2012-3-29 16:12 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 5 楼打算都搞得差不多了就全部详细的写出来。。。因为还包括DLL隐藏、驱动模块隐藏，后边两个都过了，当然是在没开内核级线程的情况下，还有很多待完善，经常蓝屏，所以上面的技术问题想多请教一下。。。。 2012-3-30 09:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 2 楼进程ID是pspcidtable的索引，0x64c是Csrss自己句柄表的索引，两者没关系。PsLookup**函数会去访问pspcidtable，而且很多函数里面会调用到PsLookup**函数，抹了这里面的后“可能”会让进程无法正常工作。 2012-3-29 09:14 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼感谢KiDebug的提示，现在发现使用ExEnumHandleTable遍历CSRSS的句柄表得到的Object的值没有待隐藏的进程的EPROCESS对象和其线程ETHREAD地址。。。是不是可能本来就没有？现在还是过不了RKU。冰刃蓝屏、Xuetr过了 2012-3-29 14:36 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 4 楼求样本，我看下我的ark是否能过。 2012-3-29 16:12 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 5 楼打算都搞得差不多了就全部详细的写出来。。。因为还包括DLL隐藏、驱动模块隐藏，后边两个都过了，当然是在没开内核级线程的情况下，还有很多待完善，经常蓝屏，所以上面的技术问题想多请教一下。。。。 2012-3-30 09:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复