首页
社区
课程
招聘
[求助]请问ring3中如何检测隐藏的进程?
发表于: 2008-10-1 22:40 9580

[求助]请问ring3中如何检测隐藏的进程?

2008-10-1 22:40
9580
看了论坛上很多帖子关于检查隐藏进程的,都是用驱动来实现的。如果用驱动的话,比较麻烦,也担心不稳定。

各位大侠有没有什么建议?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (19)
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
2
对ID一阵OPEN,能打开的就是了.
这是最简单的啦.还有在CSRSS里面找...
还有就是暴搜,
2008-10-1 22:53
0
雪    币: 564
活跃值: (42)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
3
void main(){        for (int i=0;i<=65535;i+=4)      //实际上,取到0x4e1c就够了      {          if(OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,i)!= 0)          {              printf("ProcessID: %d\n",i);              CloseHandle(&i);          }      }          getchar();  }
2008-10-1 22:55
0
雪    币: 231
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qdk
4

这都可以
2008-10-1 23:31
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
5
多么美丽的代码
2008-10-2 00:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这就是传说中的枚举吗????。。。。。
2008-10-2 14:27
0
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
最近我也看了很多这方面的。。。看雪上面的资源相当丰富
2008-10-2 19:36
0
雪    币: 110
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
http://www.rootkit.com/newsread.php?newsid=908
2008-10-2 20:24
0
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
9
最近比较流行CsrWalker

OpenProcess那个0x4e1c不是很能理解,以前有某人抓了个6位数的pid的图。
2008-10-2 22:05
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
枚举,应该就是在指定范围内验证所有的可能值.
hljleo的code应该就是sudami说的第一种方法,很容易看懂.

顺便问下,0x4e1c 是进程ID的界限吗? 呵呵
2008-10-4 11:05
0
雪    币: 197
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
很暴力,我在驱动下也写过类似的代码
2008-10-4 17:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
暴力 == 直接
暴力 == 简单
暴力 == xy
2008-10-5 11:44
0
雪    币: 261
活跃值: (32)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
13
如果是用CreateRemoteThread注入到远程进程的,能不能用这种方法找出来?
2008-10-5 12:07
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
14
你那还叫进程吗???

2008-10-5 12:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
会导致系统崩溃么?加载驱动的话
2008-10-6 12:41
0
雪    币: 177
活跃值: (278)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
麻烦啊,玩意函数都被HOOK了,就不能靠能不能打开来判断了。
我还是喜欢pspCidTable,手动查,不用函数。
话说0x4e1c为什么是一个界限
2009-6-15 16:04
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
17
0x4e1c不是上限,自己试一下就知道了~
2009-6-15 21:45
0
雪    币: 141
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
6位 ... 晕 那个图片在哪里 我要看看...

0x4e1c不是界限是真的  但是6位也太那个了吧
2009-6-15 22:29
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
19
http://hi.baidu.com/%5Fachillis/blog/item/5127b61f72ab02184034174a.html
2009-6-16 10:56
0
雪    币: 141
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
果然是六位数 被彻底击溃了

了解了以后用 NextHandleNeedingPool
2009-6-17 08:34
0
游客
登录 | 注册 方可回帖
返回
//