[讨论]关于_SYSTEM_PROCESSES的填冲-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 2 楼继续求解答。。。因为有检测，有保护线程一直在检测，恢复断链马上自动重启电脑。所以只是想手动将EPROCESS信息增加到NtQuerySystemInformation返回的EPROCESS到_SYSTEM_PROCESSES中去。怎么办？ 2012-4-11 22:58 0
莫灰灰雪币： 2331 活跃值： (2225) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 3 楼 hook NtQuerySystemInformation，调用原始NtQuerySystemInformation，返回结果为 struct xx{ ULONG i; yy } 此时，自己再申请一块i+1个结构体的内存，然后把原始数据拷贝进去，接着填充hide_process，最后返回就好了。 2012-4-11 23:15 0
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 4 楼 EPROCESS到_SYSTEM_PROCESSES 感谢版大的回复. 但还是不太明白. 申请内存块, 调用原始NtQuerySystemInformation,返回的是每个进程信息的_SYSTEM_PROCESSES. 而通过pspcidtable遍历得到的是EPROCESS结构,两个结构信息完全不同. _SYSTEM_PROCESSES需要的几个字在EPROCESS结构都没有,怎么填充? 2012-4-12 12:32 0
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 5 楼继续等待高手帮解答下. 2012-4-13 15:04 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 6 楼自己动手先搞下，边调边试，，就知道怎么搞了。 2012-4-13 16:15 0
莫灰灰雪币： 2331 活跃值： (2225) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 7 楼怎么填充直接参考NtQuerySystemInformation函数的实现。 2012-4-13 16:35 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 8 楼我估计lz是希望有人把代码给你写出来， 2012-4-13 17:42 0
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 9 楼抱歉,我只是想问方法. 如果你认为我是只要代码来的,对不起,你错了 2012-4-13 23:07 0
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 10 楼 windbg看过NtQuerySystemInformation的实现.很复杂. 有别的方法吗 2012-4-13 23:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 2 楼继续求解答。。。因为有检测，有保护线程一直在检测，恢复断链马上自动重启电脑。所以只是想手动将EPROCESS信息增加到NtQuerySystemInformation返回的EPROCESS到_SYSTEM_PROCESSES中去。怎么办？ 2012-4-11 22:58 0
莫灰灰雪币： 2331 活跃值： (2225) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 3 楼 hook NtQuerySystemInformation，调用原始NtQuerySystemInformation，返回结果为 struct xx{ ULONG i; yy } 此时，自己再申请一块i+1个结构体的内存，然后把原始数据拷贝进去，接着填充hide_process，最后返回就好了。 2012-4-11 23:15 0
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 4 楼 EPROCESS到_SYSTEM_PROCESSES 感谢版大的回复. 但还是不太明白. 申请内存块, 调用原始NtQuerySystemInformation,返回的是每个进程信息的_SYSTEM_PROCESSES. 而通过pspcidtable遍历得到的是EPROCESS结构,两个结构信息完全不同. _SYSTEM_PROCESSES需要的几个字在EPROCESS结构都没有,怎么填充? 2012-4-12 12:32 0
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 5 楼继续等待高手帮解答下. 2012-4-13 15:04 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 6 楼自己动手先搞下，边调边试，，就知道怎么搞了。 2012-4-13 16:15 0
莫灰灰雪币： 2331 活跃值： (2225) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 7 楼怎么填充直接参考NtQuerySystemInformation函数的实现。 2012-4-13 16:35 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 8 楼我估计lz是希望有人把代码给你写出来， 2012-4-13 17:42 0
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 9 楼抱歉,我只是想问方法. 如果你认为我是只要代码来的,对不起,你错了 2012-4-13 23:07 0
style 雪币： 111 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 1 关注私信	style 10 楼 windbg看过NtQuerySystemInformation的实现.很复杂. 有别的方法吗 2012-4-13 23:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复