[求助]HOOK ZwQuerySystemInformation隐藏进程?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼 typedef struct _SYSTEM_PROCESS_INFORMATION { ULONG NextEntryOffset; //NextEntryOffset下一个进程结构的偏移量,每一个进程对应一个结构 //最后一个进程的NextEntryOffset=0 ULONG NumberOfThreads; //线程数目 LARGE_INTEGER Reserved[3]; LARGE_INTEGER CreateTime; //创建时间 LARGE_INTEGER UserTime; //用户模式(Ring 3)的CPU时间 LARGE_INTEGER KernelTime; //内核模式(Ring 0)的CPU时间 UNICODE_STRING ProcessName; //进程名 KPRIORITY BasePriority; //进程优先权 ULONG ProcessId; //进程标识符 ULONG InheritedFromProcessId; //父进程的标识符 ULONG HandleCount; //句柄数目 ULONG Reserved2[2]; ULONG PrivatePageCount; VM_COUNTERS VirtualMemoryCounters; //虚拟存储器的结构 IO_COUNTERS IoCounters; //IO计数结构 SYSTEM_THREAD_INFORMATION Threads[0]; //进程相关线程的结构数组 } SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION; 2009-6-27 10:52 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 3 楼这个结构从何而来，跟EPROCESS有什么关系吗？ 2009-6-27 10:53 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 4 楼帮SD老师顶一下 2009-6-27 11:14 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼答案尽在WRK，自己看吧，ZwQuerySystemInformation是遍历EPROCESS的ActiceProcessLink来获取信息的 2009-6-28 07:57 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼答案尽在WRK，自己看吧，ZwQuerySystemInformation是遍历EPROCESS的ActiveProcessLink来获取信息的 2009-6-28 07:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼怎么发重了… 2009-6-28 07:59 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼那个结构中的大部分信息就来自EPROCESS~ 2009-6-28 08:00 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 9 楼同上，源码 2009-6-28 18:40 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 10 楼谢了 0000 2009-6-29 21:56 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 11 楼看到了的确是从EPRROCESS来的 2009-6-30 18:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼 typedef struct _SYSTEM_PROCESS_INFORMATION { ULONG NextEntryOffset; //NextEntryOffset下一个进程结构的偏移量,每一个进程对应一个结构 //最后一个进程的NextEntryOffset=0 ULONG NumberOfThreads; //线程数目 LARGE_INTEGER Reserved[3]; LARGE_INTEGER CreateTime; //创建时间 LARGE_INTEGER UserTime; //用户模式(Ring 3)的CPU时间 LARGE_INTEGER KernelTime; //内核模式(Ring 0)的CPU时间 UNICODE_STRING ProcessName; //进程名 KPRIORITY BasePriority; //进程优先权 ULONG ProcessId; //进程标识符 ULONG InheritedFromProcessId; //父进程的标识符 ULONG HandleCount; //句柄数目 ULONG Reserved2[2]; ULONG PrivatePageCount; VM_COUNTERS VirtualMemoryCounters; //虚拟存储器的结构 IO_COUNTERS IoCounters; //IO计数结构 SYSTEM_THREAD_INFORMATION Threads[0]; //进程相关线程的结构数组 } SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION; 2009-6-27 10:52 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 3 楼这个结构从何而来，跟EPROCESS有什么关系吗？ 2009-6-27 10:53 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 4 楼帮SD老师顶一下 2009-6-27 11:14 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼答案尽在WRK，自己看吧，ZwQuerySystemInformation是遍历EPROCESS的ActiceProcessLink来获取信息的 2009-6-28 07:57 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼答案尽在WRK，自己看吧，ZwQuerySystemInformation是遍历EPROCESS的ActiveProcessLink来获取信息的 2009-6-28 07:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼怎么发重了… 2009-6-28 07:59 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼那个结构中的大部分信息就来自EPROCESS~ 2009-6-28 08:00 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 9 楼同上，源码 2009-6-28 18:40 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 10 楼谢了 0000 2009-6-29 21:56 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 11 楼看到了的确是从EPRROCESS来的 2009-6-30 18:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复