首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]为什么隐藏进程了,游戏还是能够死锁你的程序线程
发表于: 2014-8-5 10:23 7635

[求助]为什么隐藏进程了,游戏还是能够死锁你的程序线程

ironjie 活跃值
2014-8-5 10:23
7635
通过驱动的方式,让任务管理器找不到指定进程。
原理:任务管理器通过ZwQuerySystemInformation函数来获取当前进程列表,而 ZwQuerySystemInformation函数内部是通过查找双向链表来操作的,所以如果把想隐藏的进程从这个链表中脱离出来,任务管理器就列不出这个进程了。
具体方法:1、首先得到要隐藏的进程的PID
      2、通过PID得到进程的EPROCESS
      3、由EPROCESS定位到双向链表
      4、修改链表,使指定进程脱离

现在的问题是,游戏还是能够发现辅助模块,并能够死锁你的程序线程,让辅助线程暂停。这个怎么破?求高手解下。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (10)
木瓜枫叶
雪    币: 459
活跃值: (398)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
2
句柄表、暴力搜索。
而且,EPROCESS定位到双向链表 不止一个,又不可能全部抹掉痕迹。
2014-8-5 10:35
0
rqqeq
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
暴搜或者直接从4一直openpresses。。到256*256。。。。。
2014-8-5 16:04
0
shuxuliang
雪    币: 53
活跃值: (734)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
PspCidTable隐藏了么?
2014-8-5 16:37
0
h辉
雪    币: 101
活跃值: (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
隐藏还是被发现 那就从其它地方入手? 你开了那么多进程 它为什么不暂停其它进程?....
2014-8-6 11:05
0
wgejydy
雪    币: 70
活跃值: (37)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
根据你说的情况看看CreateProcess,和CreateThread回调是否注册
2014-8-6 13:36
0
windhawk
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
暴雪从2009年初开始采用的方式。不过是读权限的,最低权限。
2014-8-11 16:30
0
luojicuowu
雪    币: 25
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
那有没有窗口呢? 把窗口给替换了,用配置文件来控制辅助程序.
如果没有,那就弄个看门狗程序和进程通信,发现死了就再启动它.
2014-8-11 16:39
0
exediy
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
9
我想知道 为什么需要隐藏进程?人家发现你进程肯定是因为你进程有什么特征被检测到, 你再怎么隐藏都没用啊!
2014-8-11 19:56
0
rqqeq
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
还有窗口的特征
2014-8-12 19:06
0
fgs
雪    币: 55
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
fgs
11
这个在内存中还是可以检测到的
2014-9-17 20:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//