首页
社区
课程
招聘
[求助]HOOK ZwQuerySystemInformation隐藏进程?
发表于: 2009-6-27 10:51 9957

[求助]HOOK ZwQuerySystemInformation隐藏进程?

2009-6-27 10:51
9957
HOOK ZwQuerySystemInformation隐藏进程?
为何通过pspcidtable可以检测到呢?
ZwQuerySystemInformation获取的进程信息从何而来,是不是从EPROCESS中?
ZwQuerySystemInformation列进程是通过返回一个大的缓冲区,里面放着进程信息,我不理解的是这些信息从哪里得到的?ZwQuerySystemInformation怎么知道系统有多少个进程呢?
请问ZwQuerySystemInformation列进程具体实现原理啊?

pspcidtable就是通过遍历进程对象object遍历eprocess来列进程的,可以检测HOOK隐藏进程

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (10)
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
2
typedef struct _SYSTEM_PROCESS_INFORMATION
{   
    ULONG                   NextEntryOffset;                 //NextEntryOffset下一个进程结构的偏移量,每一个进程对应一个结构
        //最后一个进程的NextEntryOffset=0
    ULONG                   NumberOfThreads;                 //线程数目   
    LARGE_INTEGER           Reserved[3];   
    LARGE_INTEGER           CreateTime;                      //创建时间   
    LARGE_INTEGER           UserTime;                        //用户模式(Ring 3)的CPU时间   
    LARGE_INTEGER           KernelTime;                      //内核模式(Ring 0)的CPU时间   
    UNICODE_STRING          ProcessName;                     //进程名   
    KPRIORITY               BasePriority;                    //进程优先权   
    ULONG                   ProcessId;                       //进程标识符   
    ULONG                   InheritedFromProcessId;          //父进程的标识符   
    ULONG                   HandleCount;                     //句柄数目   
    ULONG                   Reserved2[2];   
      ULONG                   PrivatePageCount;   
      VM_COUNTERS             VirtualMemoryCounters;           //虚拟存储器的结构   
    IO_COUNTERS             IoCounters;                      //IO计数结构   
    SYSTEM_THREAD_INFORMATION     Threads[0];                //进程相关线程的结构数组   
} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;
2009-6-27 10:52
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
3
这个结构从何而来,跟EPROCESS有什么关系吗?
2009-6-27 10:53
0
雪    币: 2362
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
帮SD老师顶一下
2009-6-27 11:14
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
5
答案尽在WRK,自己看吧,ZwQuerySystemInformation是遍历EPROCESS的ActiceProcessLink来获取信息的
2009-6-28 07:57
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
6
答案尽在WRK,自己看吧,ZwQuerySystemInformation是遍历EPROCESS的ActiveProcessLink来获取信息的
2009-6-28 07:58
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
7
怎么发重了…
2009-6-28 07:59
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
8
那个结构中的大部分信息就来自EPROCESS~
2009-6-28 08:00
0
雪    币: 412
活跃值: (30)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
9
同上,源码
2009-6-28 18:40
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
10
谢了 0000
2009-6-29 21:56
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
11
看到了  的确是从EPRROCESS来的
2009-6-30 18:38
0
游客
登录 | 注册 方可回帖
返回
//