返回信息流默认情况下xp内核的NtGlobalFlag是0,
而有些好东东是在这个标志的某些位置位的时候才有的,
内核里EPROCESS是通过双向循环链表ActiveProcessLinks链在一起的
所以曾有一段时间Rootkit通过DKOM把要隐藏的进程从这个链表中摘除达到目的
自从icesword出现以后,这招就不太好使了,搞清楚了icesword的原理以后,
针对其原理,我在虚拟机里已经成功地骗过icesword来隐藏进程。
上面都是前言,也是费话。下面开始说正经的:
当NtGlobalFlag的第27位(起始位从第1位开始计,无第0位)即bit26(start from bit0)
被置位时,所有的内核对象会通过另一种方式相互链在一起,通过这个链表,我们
就可以进行进程检测了。
而这个全局内核变量nt!NtGlobalFlag,是可以通过注册表设置的。
不知道有没有高人发现过此东东,我是在反汇编XP内核时发现的,
这招使起来,真是阴啊,啊哈哈。。。。。。。
这是一条镜像帖。来源:北邮人论坛 / security / #6642同步于 2006/12/26
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
无意间想到的阴招,啊哈哈[关于进程检测]
flyingkisser
2006/12/26镜像同步6 回复
订阅后,新回复会通过你的通知中心匿名送达。
6 条回复
还是MZ了解我,哈哈
【 在 rebirthatsix (茫犭者) 的大作中提到: 】
: 不是
: 是修改了注册表使得进程链表原始被DKOM删除的进程失去效应
: 说白了就是你改的那种我根本不用来做检测的标准
: ...................