[求助]请问ring3中如何检测隐藏的进程？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼对ID一阵OPEN,能打开的就是了. 这是最简单的啦.还有在CSRSS里面找... 还有就是暴搜, 2008-10-1 22:53 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 3 楼 void main(){ for (int i=0;i<=65535;i+=4) //实际上，取到0x4e1c就够了 { if(OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,i)!= 0) { printf("ProcessID: %d\n",i); CloseHandle(&i); } } getchar(); } 2008-10-1 22:55 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 4 楼汗这都可以 2008-10-1 23:31 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 5 楼多么美丽的代码 2008-10-2 00:01 0
kiki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	kiki 6 楼这就是传说中的枚举吗？？？？。。。。。 2008-10-2 14:27 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 7 楼最近我也看了很多这方面的。。。看雪上面的资源相当丰富 2008-10-2 19:36 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 8 楼 http://www.rootkit.com/newsread.php?newsid=908 2008-10-2 20:24 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 9 楼最近比较流行CsrWalker OpenProcess那个0x4e1c不是很能理解，以前有某人抓了个6位数的pid的图。 2008-10-2 22:05 0
Liquidworm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 79 粉丝 0 关注私信	Liquidworm 10 楼枚举,应该就是在指定范围内验证所有的可能值. hljleo的code应该就是sudami说的第一种方法,很容易看懂. 顺便问下,0x4e1c 是进程ID的界限吗? 呵呵 2008-10-4 11:05 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 11 楼很暴力，我在驱动下也写过类似的代码 2008-10-4 17:37 0
Liquidworm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 79 粉丝 0 关注私信	Liquidworm 12 楼暴力 == 直接暴力 == 简单暴力 == xy 2008-10-5 11:44 0
RYYMike 雪币： 261 活跃值： (32) 能力值： ( LV7，RANK：100 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	RYYMike 2 13 楼如果是用CreateRemoteThread注入到远程进程的，能不能用这种方法找出来？ 2008-10-5 12:07 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 14 楼你那还叫进程吗??? 2008-10-5 12:56 0
懒蛤蟆雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	懒蛤蟆 15 楼会导致系统崩溃么？加载驱动的话 2008-10-6 12:41 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 16 楼麻烦啊，玩意函数都被HOOK了，就不能靠能不能打开来判断了。我还是喜欢pspCidTable，手动查，不用函数。话说0x4e1c为什么是一个界限 2009-6-15 16:04 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼 0x4e1c不是上限，自己试一下就知道了~ 2009-6-15 21:45 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 18 楼 6位 ... 晕那个图片在哪里我要看看... 0x4e1c不是界限是真的但是6位也太那个了吧 2009-6-15 22:29 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 19 楼 http://hi.baidu.com/%5Fachillis/blog/item/5127b61f72ab02184034174a.html 2009-6-16 10:56 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 20 楼果然是六位数被彻底击溃了了解了以后用 NextHandleNeedingPool 2009-6-17 08:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼对ID一阵OPEN,能打开的就是了. 这是最简单的啦.还有在CSRSS里面找... 还有就是暴搜, 2008-10-1 22:53 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 3 楼 void main(){ for (int i=0;i<=65535;i+=4) //实际上，取到0x4e1c就够了 { if(OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,i)!= 0) { printf("ProcessID: %d\n",i); CloseHandle(&i); } } getchar(); } 2008-10-1 22:55 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 4 楼汗这都可以 2008-10-1 23:31 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 5 楼多么美丽的代码 2008-10-2 00:01 0
kiki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	kiki 6 楼这就是传说中的枚举吗？？？？。。。。。 2008-10-2 14:27 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 7 楼最近我也看了很多这方面的。。。看雪上面的资源相当丰富 2008-10-2 19:36 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 8 楼 http://www.rootkit.com/newsread.php?newsid=908 2008-10-2 20:24 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 9 楼最近比较流行CsrWalker OpenProcess那个0x4e1c不是很能理解，以前有某人抓了个6位数的pid的图。 2008-10-2 22:05 0
Liquidworm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 79 粉丝 0 关注私信	Liquidworm 10 楼枚举,应该就是在指定范围内验证所有的可能值. hljleo的code应该就是sudami说的第一种方法,很容易看懂. 顺便问下,0x4e1c 是进程ID的界限吗? 呵呵 2008-10-4 11:05 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 11 楼很暴力，我在驱动下也写过类似的代码 2008-10-4 17:37 0
Liquidworm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 79 粉丝 0 关注私信	Liquidworm 12 楼暴力 == 直接暴力 == 简单暴力 == xy 2008-10-5 11:44 0
RYYMike 雪币： 261 活跃值： (32) 能力值： ( LV7，RANK：100 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	RYYMike 2 13 楼如果是用CreateRemoteThread注入到远程进程的，能不能用这种方法找出来？ 2008-10-5 12:07 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 14 楼你那还叫进程吗??? 2008-10-5 12:56 0
懒蛤蟆雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	懒蛤蟆 15 楼会导致系统崩溃么？加载驱动的话 2008-10-6 12:41 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 16 楼麻烦啊，玩意函数都被HOOK了，就不能靠能不能打开来判断了。我还是喜欢pspCidTable，手动查，不用函数。话说0x4e1c为什么是一个界限 2009-6-15 16:04 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼 0x4e1c不是上限，自己试一下就知道了~ 2009-6-15 21:45 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 18 楼 6位 ... 晕那个图片在哪里我要看看... 0x4e1c不是界限是真的但是6位也太那个了吧 2009-6-15 22:29 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 19 楼 http://hi.baidu.com/%5Fachillis/blog/item/5127b61f72ab02184034174a.html 2009-6-16 10:56 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 20 楼果然是六位数被彻底击溃了了解了以后用 NextHandleNeedingPool 2009-6-17 08:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复