返回信息流不比不知道,一比吓一跳
以下是原文
------------------------
我的驱动查进程:
1.native api获得进程表a
2.通过activelist获得进程表b
3.通过pspCidTable获得进程表c
4.通过handletablelisthead获得进程表d
5.通过csrss的handletable用2种方法枚举获得进程表e和f
6.通过扫描当前进程的handletable获得进程表g
7.遍历表c的每一个进程的SessionProcessLinks获得进程表h
8.遍历表c的每一个进程Vm.WorkingSetExpansionLinks获得进程表i
9.通过Typelist分别取process和thread的表j和表k
10.通过表k得到进程表l
11.搜索内存中的threadobject和processobject得到进程表m
12.通过Wait/Dispatch得到进程表n
13.如果系统是Win2003以上遍历表c的每一个进程的MmProcessLinks得到表o
14.综合上面的进程表得到表p
15.对表p每一个进程做HandleTable,Vm.WorkXX,MmProcessXX,SessionProcessList扫描得到表q
16.枚举HWNDHandle得到进程表r
17.枚举JobObject得到表s
18.综合得表t,此时枚举结束~~
这是一条镜像帖。来源:北邮人论坛 / security / #8497同步于 2007/3/2
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
关于进程检测的方法(比较bt)--转自驱动的killvxk
flyingkisser
2007/3/2镜像同步5 回复
订阅后,新回复会通过你的通知中心匿名送达。
5 条回复
不过我觉得他们有点极端了,干脆我就不用进程了,随便他们怎么查去。嘿嘿。
【 在 CNLAS (Ich gewinne bestimmt……) 的大作中提到: 】
: V大是BT中的BT。。。据说他们的Saber(好奇怪的名字)就打算这么干。。。= =b