[求助]如何彻底隐藏进程？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
晓晓晓雪币： 1213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	晓晓晓 2 楼通过CPU的调度链表，就能找到所有活动等待线程，然后进程就出来了，应该不可能完全隐藏吧，小白见解 2018-11-5 17:03 1
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 3 楼你肯定是山总，又来问怎么隐藏进程，上次问 hook 会不会触发PG。隐藏进程不如用傀儡进程，最后于 2018-11-5 17:26 被StriveXjun编辑，原因： 2018-11-5 17:25 1
放学打我不雪币： 4006 活跃值： (626) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 4 楼隐藏进程只能针对某种特征的检测,想要完全隐藏,是不可能的.老v当年说的检测方法就已经10+了,傀儡进程还是可以的, 2018-11-5 17:35 1
wanalj 雪币： 4 能力值： (RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	wanalj 5 楼可以加你微信吗？ 2018-11-5 20:16 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 6 楼你肯定是山总+1 老是问这些有的没的只要购买山总TGPX64驱动即可彻底隐藏进程，首次购买仅需800/天，仅限2个测试名额 2018-11-5 21:59 2
zhatian 雪币： 6542 活跃值： (3812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 7 楼最近研究隐藏进程了。研究好了又开源？应该没有彻底隐藏的 2018-11-5 22:56 1
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 8 楼 zhatian 最近研究隐藏进程了。研究好了又开源？应该没有彻底隐藏的可以曲线救国嘛，比如hzqst大神说的傀儡 2018-11-6 11:25 1
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 9 楼老坛酸菜TM 可以曲线救国嘛，比如hzqst大神说的傀儡 1、我什么时候说过傀儡了？ 2、你去向山总买TGPx64驱动就完事了 2018-11-6 12:03 0
FANTASYING 雪币： 2435 活跃值： (630) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 148 粉丝 6 关注私信	FANTASYING 10 楼 hzqst 1、我什么时候说过傀儡了？ 2、你去向山总买TGPx64驱动就完事了自身螺旋大法？ 2018-11-6 13:19 1
sqdwr 雪币： 20 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	sqdwr 11 楼似乎隐藏不了，调度链表里总能找到线程，除非不运行.... 2018-11-6 15:51 1
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 12 楼为啥前几年很火的重载内核没人说了 2018-11-6 16:29 1
一半人生雪币： 5883 活跃值： (12394) 能力值： ( LV12，RANK：312 ) 在线值：发帖 26 回帖 387 粉丝 193 关注私信	一半人生 5 13 楼链隐藏比较容易，_EPROCESS中维护这ActiveProcessLinks,只需要对应的偏移找到进程名称，删除当前节点即可。如果以pid的方式暴力枚举，打个比方1~10000之间的全部依赖PsLookupProcessByProcessId暴力枚举，只要在内存中即可找到。HOOK这些函数没试过可以试试，如果调用这些函数找到了你想隐藏的PID，就给他HOOK掉，返回个假的也许可以 2018-12-27 10:13 1
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 14 楼看隐藏的人的水平吧。内核层很难把所有可以遍历进程的地方全部考虑到并处理 2018-12-27 10:18 1
如斯咩咩咩雪币： 4709 活跃值： (1560) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 15 楼 TGPx64 买就完事了 2018-12-27 10:49 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
晓晓晓雪币： 1213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	晓晓晓 2 楼通过CPU的调度链表，就能找到所有活动等待线程，然后进程就出来了，应该不可能完全隐藏吧，小白见解 2018-11-5 17:03 1
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 3 楼你肯定是山总，又来问怎么隐藏进程，上次问 hook 会不会触发PG。隐藏进程不如用傀儡进程，最后于 2018-11-5 17:26 被StriveXjun编辑，原因： 2018-11-5 17:25 1
放学打我不雪币： 4006 活跃值： (626) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 4 楼隐藏进程只能针对某种特征的检测,想要完全隐藏,是不可能的.老v当年说的检测方法就已经10+了,傀儡进程还是可以的, 2018-11-5 17:35 1
wanalj 雪币： 4 能力值： (RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	wanalj 5 楼可以加你微信吗？ 2018-11-5 20:16 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 6 楼你肯定是山总+1 老是问这些有的没的只要购买山总TGPX64驱动即可彻底隐藏进程，首次购买仅需800/天，仅限2个测试名额 2018-11-5 21:59 2
zhatian 雪币： 6542 活跃值： (3812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 7 楼最近研究隐藏进程了。研究好了又开源？应该没有彻底隐藏的 2018-11-5 22:56 1
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 8 楼 zhatian 最近研究隐藏进程了。研究好了又开源？应该没有彻底隐藏的可以曲线救国嘛，比如hzqst大神说的傀儡 2018-11-6 11:25 1
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 9 楼老坛酸菜TM 可以曲线救国嘛，比如hzqst大神说的傀儡 1、我什么时候说过傀儡了？ 2、你去向山总买TGPx64驱动就完事了 2018-11-6 12:03 0
FANTASYING 雪币： 2435 活跃值： (630) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 148 粉丝 6 关注私信	FANTASYING 10 楼 hzqst 1、我什么时候说过傀儡了？ 2、你去向山总买TGPx64驱动就完事了自身螺旋大法？ 2018-11-6 13:19 1
sqdwr 雪币： 20 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	sqdwr 11 楼似乎隐藏不了，调度链表里总能找到线程，除非不运行.... 2018-11-6 15:51 1
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 12 楼为啥前几年很火的重载内核没人说了 2018-11-6 16:29 1
一半人生雪币： 5883 活跃值： (12394) 能力值： ( LV12，RANK：312 ) 在线值：发帖 26 回帖 387 粉丝 193 关注私信	一半人生 5 13 楼链隐藏比较容易，_EPROCESS中维护这ActiveProcessLinks,只需要对应的偏移找到进程名称，删除当前节点即可。如果以pid的方式暴力枚举，打个比方1~10000之间的全部依赖PsLookupProcessByProcessId暴力枚举，只要在内存中即可找到。HOOK这些函数没试过可以试试，如果调用这些函数找到了你想隐藏的PID，就给他HOOK掉，返回个假的也许可以 2018-12-27 10:13 1
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 14 楼看隐藏的人的水平吧。内核层很难把所有可以遍历进程的地方全部考虑到并处理 2018-12-27 10:18 1
如斯咩咩咩雪币： 4709 活跃值： (1560) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 15 楼 TGPx64 买就完事了 2018-12-27 10:49 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复