[求助]关于用MiProcessLoaderEntry隐藏进程的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
万剑归宗雪币： 914 活跃值： (2473) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 2 楼没听说过这号人，至于利用这个隐藏进程，更是闻所未闻 2019-1-3 09:07 0
demongwc 雪币： 510 活跃值： (650) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 1 关注私信	demongwc 3 楼最后于 2019-4-6 11:43 被demongwc编辑，原因： 2019-1-3 10:37 0
isdebug 雪币： 95 活跃值： (144) 能力值： ( LV2，RANK：15 ) 在线值：发帖 5 回帖 55 粉丝 3 关注私信	isdebug 4 楼这个和系统版本有关系哦 2019-1-3 11:38 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 5 楼 isdebug 这个和系统版本有关系哦具体说说跟什么版本有关系，以及有什么关系。 2019-1-3 15:17 0
柒雪天尚雪币： 181 活跃值： (621) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 323 粉丝 5 关注私信	柒雪天尚 6 楼笑出声。。。重新开个贴，麻烦卖隐藏进程的山总别进来捣乱了 2019-1-3 15:45 0
isdebug 雪币： 95 活跃值： (144) 能力值： ( LV2，RANK：15 ) 在线值：发帖 5 回帖 55 粉丝 3 关注私信	isdebug 7 楼 tdsss 具体说说跟什么版本有关系，以及有什么关系。大手子饶命,小弟不欠你的 2019-1-3 22:28 0
章鱼C 雪币： 206 活跃值： (2599) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 93 粉丝 113 关注私信	章鱼C 8 楼 https://github.com/Sqdwr/HideDriver 可以隐藏驱动不会触发PG 书上估计是写错了这书感觉就是吧github项目拔下来讲一遍 2019-2-17 01:48 0
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 56 粉丝 44 关注私信	灵幻空间 9 楼可以隐藏进程利用这个函数将其指定进程从 _EPROCESS.ActiveProcessLinks 链表剔除就可以了，但是句柄表还是可以找到，以及可以Hook进程和线程的相关内核函数也可以找到 2020-2-26 17:19 0
wx_第七子雪币： 213 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wx_第七子 10 楼不同版本内核是不一样的，需要重新修改代码的细节，不过思路和代码框架是值得学习的 2020-5-3 11:11 0
黑洛雪币： 6124 活跃值： (4671) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 11 楼这本书的作者我只有两个字：呵呵 2020-5-3 22:17 0
年少时的懵马雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	年少时的懵马 12 楼在Win10 X64 1511,1607上都试了一下，用MiProcessLoaderEntry来摘链确实可以实现进程隐藏，至少任务管理器看不到了。但是如楼主所说，这种方式没有对进程销毁的情况进行处理，所以在没Bypass Patch Guard的情况下，一旦隐藏的进程被销毁，系统就会蓝屏。 KERNEL_SECURITY_CHECK_FAILURE (139) A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine. 这个是windbg调试蓝屏dump文件给的信息通过分析dump文件可以看到异常发生在PspProcessDelete调用的过程中。 2020-11-18 20:30 0
大佬求关照雪币： 6 活跃值： (556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 13 楼年少时的懵马在Win10 X64 1511,1607上都试了一下，用MiProcessLoaderEntry来摘链确实可以实现进程隐藏，至少任务管理器看不到了。但是如楼主所说，这种方式没有对进程销毁的情况进行处理 ... 这个蓝屏有办法解决吗 2020-12-6 22:18 0
年少时的懵马雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	年少时的懵马 14 楼大佬求关照这个蓝屏有办法解决吗后来还是没能解决这个蓝屏，就干脆没继续做下去了 2020-12-8 16:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
万剑归宗雪币： 914 活跃值： (2473) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 2 楼没听说过这号人，至于利用这个隐藏进程，更是闻所未闻 2019-1-3 09:07 0
demongwc 雪币： 510 活跃值： (650) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 1 关注私信	demongwc 3 楼最后于 2019-4-6 11:43 被demongwc编辑，原因： 2019-1-3 10:37 0
isdebug 雪币： 95 活跃值： (144) 能力值： ( LV2，RANK：15 ) 在线值：发帖 5 回帖 55 粉丝 3 关注私信	isdebug 4 楼这个和系统版本有关系哦 2019-1-3 11:38 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 5 楼 isdebug 这个和系统版本有关系哦具体说说跟什么版本有关系，以及有什么关系。 2019-1-3 15:17 0
柒雪天尚雪币： 181 活跃值： (621) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 323 粉丝 5 关注私信	柒雪天尚 6 楼笑出声。。。重新开个贴，麻烦卖隐藏进程的山总别进来捣乱了 2019-1-3 15:45 0
isdebug 雪币： 95 活跃值： (144) 能力值： ( LV2，RANK：15 ) 在线值：发帖 5 回帖 55 粉丝 3 关注私信	isdebug 7 楼 tdsss 具体说说跟什么版本有关系，以及有什么关系。大手子饶命,小弟不欠你的 2019-1-3 22:28 0
章鱼C 雪币： 206 活跃值： (2599) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 93 粉丝 113 关注私信	章鱼C 8 楼 https://github.com/Sqdwr/HideDriver 可以隐藏驱动不会触发PG 书上估计是写错了这书感觉就是吧github项目拔下来讲一遍 2019-2-17 01:48 0
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 56 粉丝 44 关注私信	灵幻空间 9 楼可以隐藏进程利用这个函数将其指定进程从 _EPROCESS.ActiveProcessLinks 链表剔除就可以了，但是句柄表还是可以找到，以及可以Hook进程和线程的相关内核函数也可以找到 2020-2-26 17:19 0
wx_第七子雪币： 213 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wx_第七子 10 楼不同版本内核是不一样的，需要重新修改代码的细节，不过思路和代码框架是值得学习的 2020-5-3 11:11 0
黑洛雪币： 6124 活跃值： (4671) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 11 楼这本书的作者我只有两个字：呵呵 2020-5-3 22:17 0
年少时的懵马雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	年少时的懵马 12 楼在Win10 X64 1511,1607上都试了一下，用MiProcessLoaderEntry来摘链确实可以实现进程隐藏，至少任务管理器看不到了。但是如楼主所说，这种方式没有对进程销毁的情况进行处理，所以在没Bypass Patch Guard的情况下，一旦隐藏的进程被销毁，系统就会蓝屏。 KERNEL_SECURITY_CHECK_FAILURE (139) A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine. 这个是windbg调试蓝屏dump文件给的信息通过分析dump文件可以看到异常发生在PspProcessDelete调用的过程中。 2020-11-18 20:30 0
大佬求关照雪币： 6 活跃值： (556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 13 楼年少时的懵马在Win10 X64 1511,1607上都试了一下，用MiProcessLoaderEntry来摘链确实可以实现进程隐藏，至少任务管理器看不到了。但是如楼主所说，这种方式没有对进程销毁的情况进行处理 ... 这个蓝屏有办法解决吗 2020-12-6 22:18 0
年少时的懵马雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	年少时的懵马 14 楼大佬求关照这个蓝屏有办法解决吗后来还是没能解决这个蓝屏，就干脆没继续做下去了 2020-12-8 16:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复