能力值:
( LV2,RANK:10 )
|
-
-
51 楼
windows2008都来了 好强大
|
能力值:
( LV2,RANK:10 )
|
-
-
52 楼
谢谢分享.学习学习.
|
能力值:
( LV2,RANK:10 )
|
-
-
53 楼
一定要顶下 测试学习下
|
能力值:
( LV2,RANK:10 )
|
-
-
54 楼
好文章 虽然还看不懂 先标记了
|
能力值:
( LV2,RANK:10 )
|
-
-
55 楼
这样隐藏的 用RkUnhooker可以看见,显示 hidden from windowsAPI ,他显示自己的进程是not accessible from user mode 是怎么实现的?
|
能力值:
( LV2,RANK:10 )
|
-
-
56 楼
这个不是 FU 的代码吗?
DWORD HideProc(const char *ProcessName)
里面用的硬编码,好像通用性不强,
有些电脑会蓝!
|
能力值:
( LV2,RANK:10 )
|
-
-
57 楼
多谢楼主分享.
|
能力值:
( LV2,RANK:10 )
|
-
-
58 楼
也来做一个MARK
|
能力值:
( LV2,RANK:10 )
|
-
-
59 楼
今天刚好看到rootkits的相关文章,仔细一看,开始有点熟,但后边很多就不一样了.原来是修改自rootkits...
|
能力值:
( LV2,RANK:10 )
|
-
-
60 楼
好东东!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
61 楼
多谢分享!~~~~~~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
62 楼
好东西,膜拜中....
|
能力值:
( LV7,RANK:100 )
|
-
-
63 楼
多谢分享。~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
64 楼
慢慢 学习
|
能力值:
( LV2,RANK:10 )
|
-
-
65 楼
先顶一下
|
能力值:
( LV2,RANK:10 )
|
-
-
66 楼
这个的确强大
|
能力值:
( LV2,RANK:10 )
|
-
-
67 楼
原来是遍历ActiveProcessLinks链表。不知道修改哪些东西才算是“直接修改内核对象”呢?有没有哪位能给解释下?
|
能力值:
( LV2,RANK:10 )
|
-
-
68 楼
收藏了,谢谢楼主分享
|
能力值:
( LV5,RANK:60 )
|
-
-
69 楼
这个技术确实比较老了,lz有兴趣可以看一看tophet.a的隐藏
|
能力值:
( LV3,RANK:20 )
|
-
-
70 楼
学习学习!哈哈
|
能力值:
( LV2,RANK:10 )
|
-
-
71 楼
崇拜大哥啊,再谢谢你的开源精神
|
能力值:
( LV8,RANK:130 )
|
-
-
72 楼
留位,学习哈。
|
能力值:
( LV3,RANK:20 )
|
-
-
73 楼
大牛就是大牛
|
能力值:
( LV9,RANK:280 )
|
-
-
74 楼
刚好用得上,嘿嘿,拿来主义
|
能力值:
( LV9,RANK:280 )
|
-
-
75 楼
ActiveProcessLinks就是EPROCESS结构体的一个成员,而一个进程内核对象的相关信息本身就是由EPROCESS来维护的,那么修改EPROCESS,其实就是修改了内核对象。呵呵
|
|
|