自己通过PID给_EPROCESS结构体链表进行断链,也成功了,通过windbg查看内存也没问题,但是为什么在windbg里面进行!process 0 0命令后 ,在启动任务管理器就会蓝屏,代码如下。求大神解答,同时能推荐下怎么学习吗?自己学实在找不到方向
BOOL
HideProcess(DWORD Pid)
{
DWORD kpcr;
DWORD CurPro;
DWORD BefPro;
DWORD NextPro;
/
获取当前KPCR
__asm
mov eax,dword ptr fs:[
0x1c
]
mov kpcr, eax
}
CurPro
=
*
(PDWORD)((
(PDWORD)(kpcr
+
0x124
))
0x220
);
DWORD dwflag
0
;
dwflag
CurPro;
while
(TRUE)
NextPro
(PDWORD)(CurPro
0x88
)
-
获取下一个_EPROCESS结构体位置
BefPro
0x8C
获取前一个_EPROCESS结构体位置
if
(
0x84
Pid)
int
3
PDWORD Temp
Temp
(PDWORD)(BefPro
(PDWORD)(NextPro
0x8c
DbgPrint(
"Pid: %d隐藏成功\n"
, Pid);
return
TRUE;
NextPro;
(CurPro
dwflag)
"Pid: %d隐藏失败\n"
FALSE;
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
