[求助]为什么隐藏进程了，游戏还是能够死锁你的程序线程-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]为什么隐藏进程了，游戏还是能够死锁你的程序线程

发表于: 2014-8-5 10:23 7809

[求助]为什么隐藏进程了，游戏还是能够死锁你的程序线程

ironjie

活跃值

2014-8-5 10:23

7809

通过驱动的方式，让任务管理器找不到指定进程。
原理：任务管理器通过ZwQuerySystemInformation函数来获取当前进程列表，而 ZwQuerySystemInformation函数内部是通过查找双向链表来操作的，所以如果把想隐藏的进程从这个链表中脱离出来，任务管理器就列不出这个进程了。
具体方法：1、首先得到要隐藏的进程的PID
   2、通过PID得到进程的EPROCESS
   3、由EPROCESS定位到双向链表
   4、修改链表，使指定进程脱离

现在的问题是，游戏还是能够发现辅助模块，并能够死锁你的程序线程，让辅助线程暂停。这个怎么破？求高手解下。

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・3

免费

支持

分享

最新回复 (10)
木瓜枫叶雪币： 459 活跃值： (398) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 7 关注私信	木瓜枫叶 2 2 楼句柄表、暴力搜索。而且，EPROCESS定位到双向链表不止一个，又不可能全部抹掉痕迹。 2014-8-5 10:35 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼暴搜或者直接从4一直openpresses。。到256*256。。。。。 2014-8-5 16:04 0
shuxuliang 雪币： 53 活跃值： (754) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 103 粉丝 2 关注私信	shuxuliang 4 楼 PspCidTable隐藏了么？ 2014-8-5 16:37 0
h辉雪币： 101 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 118 粉丝 0 关注私信	h辉 5 楼隐藏还是被发现那就从其它地方入手? 你开了那么多进程它为什么不暂停其它进程?.... 2014-8-6 11:05 0
wgejydy 雪币： 70 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 67 粉丝 2 关注私信	wgejydy 1 6 楼根据你说的情况看看CreateProcess,和CreateThread回调是否注册 2014-8-6 13:36 0
windhawk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	windhawk 7 楼暴雪从2009年初开始采用的方式。不过是读权限的，最低权限。 2014-8-11 16:30 0
luojicuowu 雪币： 25 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 2 关注私信	luojicuowu 8 楼那有没有窗口呢? 把窗口给替换了,用配置文件来控制辅助程序. 如果没有,那就弄个看门狗程序和进程通信,发现死了就再启动它. 2014-8-11 16:39 0
exediy 雪币： 227 活跃值： (435) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 654 粉丝 3 关注私信	exediy 1 9 楼我想知道为什么需要隐藏进程?人家发现你进程肯定是因为你进程有什么特征被检测到, 你再怎么隐藏都没用啊! 2014-8-11 19:56 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼还有窗口的特征 2014-8-12 19:06 0
fgs 雪币： 55 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	fgs 11 楼这个在内存中还是可以检测到的 2014-9-17 20:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

ironjie

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区