请教最有效的进程防杀-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 11 关注私信	北极星2003 25 2006-6-14 11:13 2 楼 0 可以参考下prince兄的这篇文章【翻译】检测隐藏进程 http://bbs.pediy.com/showthread.php?s=&threadid=22530
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-6-14 12:59 3 楼 0 比较容易实现的是PspCidTable脱链，不过只能对付Icesword 其它的方法我不知道，呵呵
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-14 13:14 4 楼 0 不要想了，没有办法的。除非做到你的程序与windows系统共存亡（杀了你的程序系统就死机或崩溃），否则照样可杀了。
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-6-14 13:23 5 楼 0 绝对的防杀是不存在的，关于PspCidTable脱链可以参考FUTO的源码 http://www.rootkit.com 左下角有FUTO相关的DOWNLOAD LINK 如果之前没搞过Rootkit的话就不要看了，一时半会很难摸出什么窍门
protocol 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	protocol 2006-6-14 13:25 6 楼 0 谢谢大家，我再看看相关资料
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-15 12:14 7 楼 0 除非你要写病毒、木马、流氓软件，否则，你没有理由要让你的进程防杀。退一步说，即便你做到了防杀，你能保证你的程序一定会被运行吗？别人不用你的程序，你再怎么防杀也没用！
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 5 关注私信	dwing 1 2006-6-15 18:30 8 楼 0 最初由 gkend* 发布* 除非你要写病毒、木马、流氓软件，否则，你没有理由要让你的进程防杀。退一步说，即便你做到了防杀，你能保证你的程序一定会被运行吗？别人不用你的程序，你再怎么防杀也没用！还有种情况是写杀毒软件,这时要防止被病毒杀
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-15 20:11 9 楼 0 最初由 dwing* 发布* 还有种情况是写杀毒软件,这时要防止被病毒杀有道理。那这个病毒就蛮厉害啦。
crazybug 雪币： 22 活跃值： (390) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 2006-6-17 22:48 10 楼 0 双线程（进程）相互监视实现起来也比较容易可以参考中国黑客病毒的实现方式
Vegeta 雪币： 431 活跃值： (442) 能力值： ( LV12，RANK：530 ) 在线值：发帖 37 回帖 238 粉丝 1 关注私信	Vegeta 13 2006-6-18 10:16 11 楼 0 最初由 crazybug* 发布* 双线程（进程）相互监视实现起来也比较容易可以参考中国黑客病毒的实现方式变通得好。
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-18 10:25 12 楼 0 最初由 crazybug* 发布* 双线程（进程）相互监视实现起来也比较容易可以参考中国黑客病毒的实现方式废话。进程被杀了，双线程还存在？N个线程都是空的。双进程相互监视倒是可以的。但是同时把2个进程杀了你也白搭。
crazybug 雪币： 22 活跃值： (390) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 2006-6-18 11:42 13 楼 0 最初由 gkend* 发布* 废话。进程被杀了，双线程还存在？N个线程都是空的。双进程相互监视倒是可以的。但是同时把2个进程杀了你也白搭。呵呵，一个本地线程，一个远程线程我以前的做法就是把远程线程注入WINLOGON.EXE里，你把它杀了，系统就崩溃重起了按你那么说就没什么意思了，没有不能杀的只有难与简单的区别，还是能杀的
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-18 12:12 14 楼 0 最初由 crazybug* 发布* 呵呵，一个本地线程，一个远程线程我以前的做法就是把远程线程注入WINLOGON.EXE里，你把它杀了，系统就崩溃重起了按你那么说就没什么意思了，没有不能杀的只有难与简单的区别，还是能杀的远程线程可不是通用的，win9x就不能用。如果用远程线程，那一个就可以了，另外一个就多此一举了。你直接在远程线程做你要做的。再说用了远程线程，可以使本进程彻底消失，从某种意义说，是真正的隐藏。 “我以前的做法就是把远程线程注入WINLOGON.EXE里，你把它杀了，系统就崩溃重起了”，如果不杀进程只杀线程，就不会崩溃重起了。
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-6-19 00:30 15 楼 0 双进程也很容易解决，呵呵，分别往这两个进程插入代码，再HOOK一下CreateProcess就完事了
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-6-22 16:01 16 楼 0 最初由 drwch* 发布* 比较容易实现的是PspCidTable脱链，不过只能对付Icesword 其它的方法我不知道，呵呵可以对付绝大多数软件使自己不被杀，对付不了1.16之后的IceSword. 不过自己也别想稳定――我的测试结果。有没有谁能稳定运行的？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (15)
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 11 关注私信	北极星2003 25 2006-6-14 11:13 2 楼 0 可以参考下prince兄的这篇文章【翻译】检测隐藏进程 http://bbs.pediy.com/showthread.php?s=&threadid=22530
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-6-14 12:59 3 楼 0 比较容易实现的是PspCidTable脱链，不过只能对付Icesword 其它的方法我不知道，呵呵
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-14 13:14 4 楼 0 不要想了，没有办法的。除非做到你的程序与windows系统共存亡（杀了你的程序系统就死机或崩溃），否则照样可杀了。
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-6-14 13:23 5 楼 0 绝对的防杀是不存在的，关于PspCidTable脱链可以参考FUTO的源码 http://www.rootkit.com 左下角有FUTO相关的DOWNLOAD LINK 如果之前没搞过Rootkit的话就不要看了，一时半会很难摸出什么窍门
protocol 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	protocol 2006-6-14 13:25 6 楼 0 谢谢大家，我再看看相关资料
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-15 12:14 7 楼 0 除非你要写病毒、木马、流氓软件，否则，你没有理由要让你的进程防杀。退一步说，即便你做到了防杀，你能保证你的程序一定会被运行吗？别人不用你的程序，你再怎么防杀也没用！
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 5 关注私信	dwing 1 2006-6-15 18:30 8 楼 0 最初由 gkend* 发布* 除非你要写病毒、木马、流氓软件，否则，你没有理由要让你的进程防杀。退一步说，即便你做到了防杀，你能保证你的程序一定会被运行吗？别人不用你的程序，你再怎么防杀也没用！还有种情况是写杀毒软件,这时要防止被病毒杀
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-15 20:11 9 楼 0 最初由 dwing* 发布* 还有种情况是写杀毒软件,这时要防止被病毒杀有道理。那这个病毒就蛮厉害啦。
crazybug 雪币： 22 活跃值： (390) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 2006-6-17 22:48 10 楼 0 双线程（进程）相互监视实现起来也比较容易可以参考中国黑客病毒的实现方式
Vegeta 雪币： 431 活跃值： (442) 能力值： ( LV12，RANK：530 ) 在线值：发帖 37 回帖 238 粉丝 1 关注私信	Vegeta 13 2006-6-18 10:16 11 楼 0 最初由 crazybug* 发布* 双线程（进程）相互监视实现起来也比较容易可以参考中国黑客病毒的实现方式变通得好。
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-18 10:25 12 楼 0 最初由 crazybug* 发布* 双线程（进程）相互监视实现起来也比较容易可以参考中国黑客病毒的实现方式废话。进程被杀了，双线程还存在？N个线程都是空的。双进程相互监视倒是可以的。但是同时把2个进程杀了你也白搭。
crazybug 雪币： 22 活跃值： (390) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 2006-6-18 11:42 13 楼 0 最初由 gkend* 发布* 废话。进程被杀了，双线程还存在？N个线程都是空的。双进程相互监视倒是可以的。但是同时把2个进程杀了你也白搭。呵呵，一个本地线程，一个远程线程我以前的做法就是把远程线程注入WINLOGON.EXE里，你把它杀了，系统就崩溃重起了按你那么说就没什么意思了，没有不能杀的只有难与简单的区别，还是能杀的
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2006-6-18 12:12 14 楼 0 最初由 crazybug* 发布* 呵呵，一个本地线程，一个远程线程我以前的做法就是把远程线程注入WINLOGON.EXE里，你把它杀了，系统就崩溃重起了按你那么说就没什么意思了，没有不能杀的只有难与简单的区别，还是能杀的远程线程可不是通用的，win9x就不能用。如果用远程线程，那一个就可以了，另外一个就多此一举了。你直接在远程线程做你要做的。再说用了远程线程，可以使本进程彻底消失，从某种意义说，是真正的隐藏。 “我以前的做法就是把远程线程注入WINLOGON.EXE里，你把它杀了，系统就崩溃重起了”，如果不杀进程只杀线程，就不会崩溃重起了。
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-6-19 00:30 15 楼 0 双进程也很容易解决，呵呵，分别往这两个进程插入代码，再HOOK一下CreateProcess就完事了
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-6-22 16:01 16 楼 0 最初由 drwch* 发布* 比较容易实现的是PspCidTable脱链，不过只能对付Icesword 其它的方法我不知道，呵呵可以对付绝大多数软件使自己不被杀，对付不了1.16之后的IceSword. 不过自己也别想稳定――我的测试结果。有没有谁能稳定运行的？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复