[求助]老问题 DKOM隐藏进程的恢复-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2 楼 cli&disable wp 2009-3-7 13:13 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 3 楼不是总蓝，而是大约40%-50%的时候蓝。加那两条之后我没有蓝过。 2009-3-7 13:14 0
icewife 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	icewife 4 楼额.. 确实其实说总蓝也不太对不过. 确实是80%蓝. cli也处理过不过有一次极特殊的情况是恢复完后所有进程都不见了只剩idle... 呵呵 2009-3-7 15:02 0
icewife 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	icewife 5 楼嗯... 果然还是不行 cr0和mdl两种方法都用了看来不是wp的问题而且BSOD代码总是 0x0000000A IRQL_NOT_LESS_OR_EQUAL The IRQL_NOT_LESS_OR_EQUAL bug check has a value of 0x0000000A. This indicates that Microsoft Windows or a kernel-mode driver accessed paged memory at DISPATCH_LEVEL or above. 话说经验不足实在不知道怎么解决这个问题 2009-3-7 15:42 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 6 楼你能保证隐藏的进程还在活动链表原来的位置吗？ 2009-3-7 20:43 0
icewife 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	icewife 7 楼楼上的说到点子上了这才是最关键的问题有几点： 1.即使你记录了摘链的时候的前一个节点，但是你无法知道恢复的时候这个节点还在不在 2.即使你恢复的时候用当前进程，也就是System。在其后插入原节点，那么涉及到第三个问题 3.关于活动链：活动链是否必须按照一定的顺序，这个我目前确实不得而知 4.等等其他一些细节问题....... 2009-3-8 13:24 0
scofined 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	scofined 8 楼蓝屏是因为,你执行这些代码的时候,必须让其他所有程序知道,你正在执行一个不可中断的代码. 2009-7-13 14:12 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼直接InsertTailList插入到PspActiveProcessHead不就行了，这跟写保护没有关系 2009-7-13 15:33 0
x敏m 雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 230 粉丝 0 关注私信	x敏m 10 楼 mark 学习。。。 2010-1-29 23:40 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 11 楼现在基本都是多核的机子，cli并不一定能阻止线程切换。 2010-1-30 12:28 0
ForSence 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	ForSence 12 楼这个不错。。。。 2010-2-5 15:49 0
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 13 楼各processor运行DPC阻止线程切换？ 2010-2-8 10:28 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 14 楼这个有什么好解决办法么? 2010-2-9 02:51 0
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 15 楼 dispatch lock 可以解决，但是win 7彻底废除它，只能用我上面说的dpc 法，把每个processor都挂到那，直到你完成操作 2010-2-9 11:40 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 16 楼蓝的几率很小，但前提是，这个操作要在IRQL < DISPATCH_LEVEL 下执行,因为大部分时间里，这个操作所涉及涉及到的内存已经被换出物理内存了。我在KiSystemService执行的时候执行这个操作，从来没有蓝过 2010-2-10 16:55 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 17 楼习惯于在NtQueryXX后做恢复的路过 2010-2-10 22:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 2 楼 cli&disable wp 2009-3-7 13:13 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 3 楼不是总蓝，而是大约40%-50%的时候蓝。加那两条之后我没有蓝过。 2009-3-7 13:14 0
icewife 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	icewife 4 楼额.. 确实其实说总蓝也不太对不过. 确实是80%蓝. cli也处理过不过有一次极特殊的情况是恢复完后所有进程都不见了只剩idle... 呵呵 2009-3-7 15:02 0
icewife 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	icewife 5 楼嗯... 果然还是不行 cr0和mdl两种方法都用了看来不是wp的问题而且BSOD代码总是 0x0000000A IRQL_NOT_LESS_OR_EQUAL The IRQL_NOT_LESS_OR_EQUAL bug check has a value of 0x0000000A. This indicates that Microsoft Windows or a kernel-mode driver accessed paged memory at DISPATCH_LEVEL or above. 话说经验不足实在不知道怎么解决这个问题 2009-3-7 15:42 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 6 楼你能保证隐藏的进程还在活动链表原来的位置吗？ 2009-3-7 20:43 0
icewife 雪币： 201 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	icewife 7 楼楼上的说到点子上了这才是最关键的问题有几点： 1.即使你记录了摘链的时候的前一个节点，但是你无法知道恢复的时候这个节点还在不在 2.即使你恢复的时候用当前进程，也就是System。在其后插入原节点，那么涉及到第三个问题 3.关于活动链：活动链是否必须按照一定的顺序，这个我目前确实不得而知 4.等等其他一些细节问题....... 2009-3-8 13:24 0
scofined 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	scofined 8 楼蓝屏是因为,你执行这些代码的时候,必须让其他所有程序知道,你正在执行一个不可中断的代码. 2009-7-13 14:12 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼直接InsertTailList插入到PspActiveProcessHead不就行了，这跟写保护没有关系 2009-7-13 15:33 0
x敏m 雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 230 粉丝 0 关注私信	x敏m 10 楼 mark 学习。。。 2010-1-29 23:40 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 11 楼现在基本都是多核的机子，cli并不一定能阻止线程切换。 2010-1-30 12:28 0
ForSence 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	ForSence 12 楼这个不错。。。。 2010-2-5 15:49 0
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 13 楼各processor运行DPC阻止线程切换？ 2010-2-8 10:28 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 14 楼这个有什么好解决办法么? 2010-2-9 02:51 0
fmicromath 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 62 粉丝 0 关注私信	fmicromath 15 楼 dispatch lock 可以解决，但是win 7彻底废除它，只能用我上面说的dpc 法，把每个processor都挂到那，直到你完成操作 2010-2-9 11:40 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 16 楼蓝的几率很小，但前提是，这个操作要在IRQL < DISPATCH_LEVEL 下执行,因为大部分时间里，这个操作所涉及涉及到的内存已经被换出物理内存了。我在KiSystemService执行的时候执行这个操作，从来没有蓝过 2010-2-10 16:55 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 17 楼习惯于在NtQueryXX后做恢复的路过 2010-2-10 22:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复