首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
社区
经典问答
发新帖
2
0
win7 64位 还有哪些可以隐藏进程的方法
发表于: 2014-5-13 17:14
16162
win7 64位 还有哪些可以隐藏进程的方法
maizang
2014-5-13 17:14
16162
win7 64位 还有哪些可以用的隐藏进程的方法 ?
我有一个程序 想隐藏它的进程 代码较多 想隐藏它的进程 在64位系统中
我用的ssdt hook 在64位系统中不能正常隐藏
求大神指教别的方法去隐藏进程
不要使用签名工具 反PG工具什么的啊 要求直接可以用代码写出来隐藏进程的
真心感谢大家为我解答
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
2
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
7
)
木瓜枫叶
雪 币:
459
活跃值:
(344)
能力值:
( LV8,RANK:120 )
在线值:
发帖
22
回帖
515
粉丝
6
关注
私信
木瓜枫叶
2
2
楼
摘链、hook NtQuerySystemInformation 。
2014-5-13 17:23
0
iceway
雪 币:
19
活跃值:
(1086)
能力值:
( LV2,RANK:10 )
在线值:
发帖
88
回帖
813
粉丝
5
关注
私信
iceway
3
楼
断链EPROCESS RundownProcess
2014-5-13 18:27
0
sidyhe
雪 币:
2143
活跃值:
(720)
能力值:
( LV7,RANK:100 )
在线值:
发帖
16
回帖
339
粉丝
9
关注
私信
sidyhe
1
4
楼
正常情况下,没有驱动签名意味着无法加载驱动,不过PG就意味着无法HOOK,所以内核下隐藏就不行了
可行的方法之一就是全局RING3 HOOK
2014-5-13 19:25
0
rqqeq
雪 币:
11
活跃值:
(40)
能力值:
( LV2,RANK:10 )
在线值:
发帖
18
回帖
908
粉丝
0
关注
私信
rqqeq
5
楼
http://bbs.pediy.com/showthread.php?t=187348
2014-5-13 20:26
0
maizang
雪 币:
65
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
11
粉丝
0
关注
私信
maizang
6
楼
你好 你有没有实现过或者有没有这方面的代码 我想研究下 万分感谢
2014-5-13 20:58
0
sidyhe
雪 币:
2143
活跃值:
(720)
能力值:
( LV7,RANK:100 )
在线值:
发帖
16
回帖
339
粉丝
9
关注
私信
sidyhe
1
7
楼
在x64环境下,分为x86进程和x64进程,所以要写两个模块。
临时想到几个方法:
1.遍历进程,远程线程注入模块,模块负责HOOK。
2.全局钩子(SetWindowsHookEx)注入,再HOOK,但不能注入没有窗口的进程。
3.记得WinLogon相关的注册表好像可以自动注入,不知道和谐了没。
4.通过方法1注入现有的进程,再找csrss注入,因为每一个新进程创建的时候都要通知它,具体Hook点记不清了,好像很麻烦。
2014-5-13 22:47
0
alexweiw
雪 币:
30
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
1
粉丝
0
关注
私信
alexweiw
8
楼
可以试试MHOOK,老外写的一个框架,很好用
2014-6-3 14:11
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
maizang
2
发帖
11
回帖
10
RANK
关注
私信
他的文章
win7 64位 还有哪些可以隐藏进程的方法
16163
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
返回
顶部
