能力值:
( LV2,RANK:10 )
|
-
-
2 楼
通过CPU的调度链表,就能找到所有活动等待线程,然后进程就出来了,应该不可能完全隐藏吧,小白见解
|
能力值:
( LV3,RANK:35 )
|
-
-
3 楼
你肯定是山总,又来问怎么隐藏进程,上次问 hook 会不会触发PG。 隐藏进程不如用傀儡进程,
最后于 2018-11-5 17:26
被StriveXjun编辑
,原因:
|
能力值:
( LV5,RANK:60 )
|
-
-
4 楼
隐藏进程只能针对某种特征的检测,想要完全隐藏,是不可能的.老v当年说的检测方法就已经10+了,傀儡进程还是可以的,
|
能力值:
(RANK:10 )
|
-
-
5 楼
可以加你微信吗?
|
能力值:
( LV9,RANK:280 )
|
-
-
6 楼
你肯定是山总+1 老是问这些有的没的 只要购买山总TGPX64驱动即可彻底隐藏进程,首次购买仅需800/天,仅限2个测试名额
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
最近 研究 隐藏进程了。 研究好了 又开源? 应该没有 彻底隐藏的
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
zhatian
最近 研究 隐藏进程了。 研究好了 又开源? 应该没有 彻底隐藏的
可以曲线救国嘛,比如hzqst大神说的傀儡
|
能力值:
( LV9,RANK:280 )
|
-
-
9 楼
老坛酸菜TM
可以曲线救国嘛,比如hzqst大神说的傀儡
1、我什么时候说过傀儡了? 2、你去向山总买TGPx64驱动就完事了
|
能力值:
( LV3,RANK:30 )
|
-
-
10 楼
hzqst
1、我什么时候说过傀儡了?
2、你去向山总买TGPx64驱动就完事了
自身螺旋大法?
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
似乎隐藏不了,调度链表里总能找到线程,除非不运行....
|
能力值:
( LV4,RANK:40 )
|
-
-
12 楼
为啥前几年很火的重载内核没人说了
|
能力值:
( LV12,RANK:312 )
|
-
-
13 楼
链隐藏比较容易,_EPROCESS中维护这ActiveProcessLinks,只需要对应的偏移找到进程名称,删除当前节点即可。 如果以pid的方式暴力枚举,打个比方1~10000之间的全部依赖PsLookupProcessByProcessId暴力枚举,只要在内存中即可找到。HOOK这些函数没试过可以试试,如果调用这些函数找到了你想隐藏的PID,就给他HOOK掉,返回个假的也许可以
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
看隐藏的人的水平吧。内核层很难把所有可以遍历进程的地方全部考虑到并处理
|
能力值:
( LV2,RANK:15 )
|
-
-
15 楼
TGPx64 买就完事了
|
|
|