-
-
[求助]学习进程隐藏
-
发表于:
2009-2-5 23:33
4677
-
小弟问下,《rootkits-windows内核的安全防护》一书中进程隐藏的方法,
plist_active_procs = (LIST_ENTRY *)(eproc+FLINKOFFSET);
*((DWORD *)plist_active_procs->Blink) = (DWORD)plist_active_procs->Flink;
*((DWORD *)plist_active_procs->Flink+1) = (DWORD)plist_active_procs->Blink;
就是把链表断开。
用RkUnhooker能看见,并且显示hidden from windowsAPI。
问题1:这个状态RkUnhooker是怎么检测到的?
问题2:RkUnhooker显示自己的进程是not accessible from user mode,这个是怎么实现的?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
