[求助]在XP下给_EPROCESS 短链为什么会蓝屏呢-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]在XP下给_EPROCESS 短链为什么会蓝屏呢

发表于: 2021-1-22 01:57 1860

未解决 [求助]在XP下给_EPROCESS 短链为什么会蓝屏呢

Rare Mango 活跃值

2021-1-22 01:57

1860

自己通过PID给_EPROCESS结构体链表进行断链，也成功了，通过windbg查看内存也没问题，但是为什么在windbg里面进行!process 0 0命令后，在启动任务管理器就会蓝屏，
代码如下。求大神解答，同时能推荐下怎么学习吗？自己学实在找不到方向

BOOL HideProcess(DWORD Pid)
{
 
    DWORD kpcr;
    DWORD CurPro;
    DWORD BefPro;
    DWORD NextPro;
 
    //获取当前KPCR
    __asm
    {
        mov eax,dword ptr fs:[0x1c]
        mov kpcr, eax
    }
 
    CurPro = *(PDWORD)((*(PDWORD)(kpcr + 0x124)) + 0x220);
 
    DWORD dwflag = 0;
    dwflag = CurPro;
    while (TRUE)
    {
        NextPro = *(PDWORD)(CurPro + 0x88) - 0x88;        //获取下一个_EPROCESS结构体位置
        BefPro = *(PDWORD)(CurPro + 0x8C) - 0x88;        //获取前一个_EPROCESS结构体位置
        if (*(PDWORD)(CurPro + 0x84) == Pid)
        {
            __asm
            {
                int 3
            }
            PDWORD Temp = 0;
            Temp = (PDWORD)(BefPro + 0x88);
            *Temp = NextPro + 0x88;
            Temp = (PDWORD)(NextPro + 0x8c);
            *Temp = BefPro + 0x88;
            DbgPrint("Pid: %d隐藏成功\n", Pid);
            return TRUE;
        }
        CurPro = NextPro;
        if (CurPro == dwflag)
        {
            DbgPrint("Pid: %d隐藏失败\n", Pid);
            return FALSE;
        }
    }
}