D decayedapple Unregistered / Unconfirmed GUEST, unregistred user! 2008-01-26 #1 求:提升到RING0列出隐藏进程并枚每个进程的模块的代码。现在的任务管理器好像不能列出全部的进程,而且PSAPI列出来的进程竟然比我用任务管理器列出来的还要少。 请各位达爷帮帮小的。
M menzhe Unregistered / Unconfirmed GUEST, unregistred user! 2008-01-26 #3 任务管理器使用的是CreateToolhelp32Snapshot等一系列的函数! 能显示的进程用这个函数都能显示,和psapi应该是一样的! 你用CreateToolhelp32Snapshot试试,比psapi简单! 提升到ring0对显示进程有帮助吗?psapi好像不能在ring0下用吧? 要是进程列表被hook,用psapi也是不行的! 应该像icesword一样遍历系统的两条进程链表! 网上有例子的,很多!
任务管理器使用的是CreateToolhelp32Snapshot等一系列的函数! 能显示的进程用这个函数都能显示,和psapi应该是一样的! 你用CreateToolhelp32Snapshot试试,比psapi简单! 提升到ring0对显示进程有帮助吗?psapi好像不能在ring0下用吧? 要是进程列表被hook,用psapi也是不行的! 应该像icesword一样遍历系统的两条进程链表! 网上有例子的,很多!
D decayedapple Unregistered / Unconfirmed GUEST, unregistred user! 2008-01-26 #4 小的无聊的想想,如果提升到RING0就应该可以调试一些程序,比如将SYSTEM进程挂起,好像还有一大牛说过,可以将一些核心的DLL给挖出来,比如从内存中抽掉kernel32.dll。 在网上找的,有的涉及到汇编,小的底子薄,看不明白汇编。 请各位爷继续教小的。
小的无聊的想想,如果提升到RING0就应该可以调试一些程序,比如将SYSTEM进程挂起,好像还有一大牛说过,可以将一些核心的DLL给挖出来,比如从内存中抽掉kernel32.dll。 在网上找的,有的涉及到汇编,小的底子薄,看不明白汇编。 请各位爷继续教小的。
L LSUPER Unregistered / Unconfirmed GUEST, unregistred user! 2008-01-27 #5 网上有读取内核数据结构的算法,不过好像没见过 delphi 的 . ;>
