[求助]什么可以替代API函数NtQueryInformationProcess-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 2 楼建立一个LogAnalyse.exe程序，其LogAnalyse.exe中启动另一个程序：B.exe WinExec("F:\\B.exe", SW_NORMAL); 那么在B.exe程序已经被启动后，如何知道自己是被别的程序启动了呢？不能用NtQueryInformationProcess这个函数。上传的附件： TTT.jpg （6.73kb，4次下载） 2013-7-17 10:09 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 3 楼 NtQuerySystemInformation SystemProcessesInformation 2013-7-17 10:48 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 4 楼哈哈，补充说明下。不能使用： NtQueryInformationProcess NtQuerySystemInformation RtlGetNativeSystemInformation ZwQueryInformationProcess ZwQuerySystemInformation 希望有其他方式获得父进程的信息，或者有方法判断有父进程即可。 2013-7-18 14:11 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 5 楼多谢高人指点，我去研究下SystemProcessesInformation 2013-7-18 14:26 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 6 楼有没有办法对抗API hook呢？别人hook了NtQueryInformationProcess，我们怎样才能实现NtQueryInformationProcess相同的功能呢？ 2013-7-18 18:47 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 7 楼想要绕过Hook的话，看你要获取什么样的信息，要获取父进程pid? 对方如何处理Hook NtQuerySystemInformation其实有很多可以弄的，比如一般NtQuerySystemInformation过滤进程信息只处理5号功能即SystemProcessInformation 但是其实还有SystemExtendedProcessInformation、SystemSessionProcessInformation 都可以获得完整的系统进程信息另外一些比较一般的挂钩NtQuerySystemInformation处理隐藏进程信息的东西通常是不会重组数据或抹去隐藏的进程信息，而是采用把要隐藏的上个项目的NextEntryOffset跳到要隐藏的下一个项目上，这时通过数据分析（需要有结构信息知识）就能找出被隐藏的节点开动脑筋的话，优美的方法无穷无尽 2013-7-18 22:21 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 8 楼太牛了，非常感谢！学习了，受教了。 2013-7-18 22:59 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 9 楼厉害，我又回来研究这个问题了。 2013-10-30 15:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 2 楼建立一个LogAnalyse.exe程序，其LogAnalyse.exe中启动另一个程序：B.exe WinExec("F:\\B.exe", SW_NORMAL); 那么在B.exe程序已经被启动后，如何知道自己是被别的程序启动了呢？不能用NtQueryInformationProcess这个函数。上传的附件： TTT.jpg （6.73kb，4次下载） 2013-7-17 10:09 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 3 楼 NtQuerySystemInformation SystemProcessesInformation 2013-7-17 10:48 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 4 楼哈哈，补充说明下。不能使用： NtQueryInformationProcess NtQuerySystemInformation RtlGetNativeSystemInformation ZwQueryInformationProcess ZwQuerySystemInformation 希望有其他方式获得父进程的信息，或者有方法判断有父进程即可。 2013-7-18 14:11 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 5 楼多谢高人指点，我去研究下SystemProcessesInformation 2013-7-18 14:26 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 6 楼有没有办法对抗API hook呢？别人hook了NtQueryInformationProcess，我们怎样才能实现NtQueryInformationProcess相同的功能呢？ 2013-7-18 18:47 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 7 楼想要绕过Hook的话，看你要获取什么样的信息，要获取父进程pid? 对方如何处理Hook NtQuerySystemInformation其实有很多可以弄的，比如一般NtQuerySystemInformation过滤进程信息只处理5号功能即SystemProcessInformation 但是其实还有SystemExtendedProcessInformation、SystemSessionProcessInformation 都可以获得完整的系统进程信息另外一些比较一般的挂钩NtQuerySystemInformation处理隐藏进程信息的东西通常是不会重组数据或抹去隐藏的进程信息，而是采用把要隐藏的上个项目的NextEntryOffset跳到要隐藏的下一个项目上，这时通过数据分析（需要有结构信息知识）就能找出被隐藏的节点开动脑筋的话，优美的方法无穷无尽 2013-7-18 22:21 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 8 楼太牛了，非常感谢！学习了，受教了。 2013-7-18 22:59 0
xinxinqing 雪币： 1234 活跃值： (302) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 9 楼厉害，我又回来研究这个问题了。 2013-10-30 15:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复