Windows RootKit进程隐藏与检测技术的研究
Windows内核级防护系统
Windows内核级防护系统孟晨宇;史渊;王佳伟;周洁;康晓凤【摘要】Windows操作系统是当今应用最广泛的个人计算机操作系统,针对这一操作系统的病毒和木马层出不穷.大多数杀毒软件主要依赖特征码识别技术、校验和技术、软件模拟技术检测病毒.本系统从手动杀毒角度出发,变被动防御为主动查杀,特别是Rootkit保护的内核级木马,通过检测相应的被挂钩函数,内核中被修改的地址,找到相应的进程,从而实现了木马进程的强杀、相应内核内容的恢复等功能,更有效的保护计算机操作系统的安全.【期刊名称】《软件》【年(卷),期】2016(037)003【总页数】6页(P16-20,26)【关键词】内核防护;手动杀毒;信息安全;Rootkit【作者】孟晨宇;史渊;王佳伟;周洁;康晓凤【作者单位】徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000)【正文语种】中文【中图分类】TP311本文著录格式:孟晨宇,史渊,王佳伟,等. Windows内核级防护系统[J]. 软件,2016,37(3):16-20随着网络技术的发展,计算机在人民生活中的地位越来越重要。
计算机在给人民的生活和工作带来极大便利的同时,也带来了信息安全问题。
Windows操作系统是当今应用最广泛的个人计算机操作系统,针对这一操作系统的病毒和木马层出不穷。
[1]而且更为严重的是内核级Rootkit的诞生,给系统安全带来了极大的破坏性。
内核是操作系统的核心,内核的完整性保护对维护操作系统至关重要。
[2]所以本系统旨在从内核出发,全方位的利用多种综合检测技术维护系统内核的安全性以及完整性。
1.1 系统整体设计方案本系统主要分为用户层和内核层,[3]用户层利用VC++ 6.0开发,采用C++语言实现,[3-5]内核层利用WDK开发,采用C语言实现。
隐藏进程_精品文档
隐藏进程什么是隐藏进程?在操作系统中,进程是指正在运行的程序的执行实例。
正常情况下,操作系统会为每个正在运行的程序创建一个进程,并分配资源给它。
这些进程会被显示在任务管理器或进程管理器中,以便用户可以监控和管理它们。
然而,有时候会有一些恶意软件或黑客攻击会隐藏自己的进程,以逃避用户或系统管理员的监控和控制。
隐藏的进程可以执行各种恶意行为,如损坏文件、窃取敏感信息、攻击网络等。
隐藏进程常常被用于恶意软件中,如计算机病毒、木马和恶意软件。
它们通过各种技术手段来隐藏自己的存在,使自己难以被检测和清除。
隐藏进程的常见技术RootkitRootkit 是一种恶意软件,它通过操纵操作系统的功能来隐藏自己。
Rootkit 可以修改操作系统的核心组件,如内核模块、驱动程序等,以便隐藏进程和其他恶意活动。
Rootkit 通常会修改系统函数调用,使它们返回虚假的结果,以掩盖自己的存在。
它还可以修改进程列表、进程状态和文件系统,来隐藏进程和文件。
HookingHooking 是一种技术,通过修改函数调用表或中断向量表来劫持系统的正常行为。
恶意软件可以使用 Hooking 技术来修改操作系统的函数调用,从而隐藏自己的进程。
通常,Hooking 会劫持一些与进程管理相关的函数,如寻找和遍历进程列表的函数。
当用户或系统管理员尝试查看进程列表时,这些被劫持的函数会返回虚假的结果,隐藏恶意进程的存在。
用户模式隐藏用户模式隐藏是一种技术,恶意软件使用它来隐藏自己的进程。
在用户模式下,操作系统提供了一组 API,用于管理进程和线程。
恶意软件可以使用这些 API 来隐藏自己的进程。
恶意软件可以通过修改自身进程的属性和访问权限来隐藏自己。
例如,它可以将自己的进程标记为“隐藏”或修改进程列表,使自己不可见。
驱动程序隐藏驱动程序是操作系统中的一种特殊类型的软件,它们用于控制硬件设备和提供操作系统功能。
恶意软件可以使用驱动程序来隐藏自己的进程。
黑客技术1
挂马技术
2011-11-17
框架嵌入式挂马
网页木马被攻击者利用iframe语句,加载到任意网页 中都可执行的挂马形式,是最早也是最有效的的一种网 络挂马技术。通常的挂马代码如下: <iframe src=/muma.html width=0 height=0></iframe> 在打开插入该句代码的网页后,就也就打开了 /muma.html页面,但是由于 它的长和宽都为“0”,所以很难察觉,非常具有隐蔽性。
23
加壳/脱壳 加壳 脱壳
5
木马传播方式
2011-11-17
web网页(挂马): 将木马程序嵌入到网页中。 通常采用web脚本语言(JavaScript),ActiveX控 件,hta网页文件。 下载文件 邮件传播:附件,网页链接 系统漏洞 网络共享访问 文件捆绑:使用专门的捆绑软件(如zbind) 文件伪装
6
Windows下木马启动技术 下木马启动技术
13
通过Rundll32.exe启动的 启动的DLL木马 通过 启动的 木马
2011-11-17
Rundll32.exe 可以调用其他32位dll. 比如 “3721“的自启动就是在注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Micr osoft\Windows\CurrentVersion\Run]下,新 添了一个“CnsMin”的键值, 启动命令是“Rundll32.exe E:\WINDOWS\DOWNLO~1\CnsMin.dll,Run dll32”。这样每次启动系统后“CnsMin.dll”都会 被Rundll32.exe调用,而在进程列表出现的则是 Rundl32.exe。 查杀方法: 首先将“rundll32.exe”进程终止,查 找注册表启动键值,从启动命令的路径中找到相 应的DLL文件并删除即可。
Rootkit病毒的解决办法
Rootkit病毒的解决办法在诸多病毒类型⾥⾯最让⼈深恶痛绝的就是Rootkit(内核型)蠕⾍病毒,许多时候杀毒软件能检测到该病毒,但却⽆法有效清除。
此类病毒的特点是病毒⽂件为两个或多个,⼀个是扩展名为EXE的可执⾏类型⽂件,⼀个是扩展名为SYS的驱动类型⽂件。
EXE可执⾏⽂件为传统的蠕⾍病毒模块,负责病毒的⽣成、感染、传播、破坏等任务;SYS⽂件为Rootkit模块。
Rootkit也是⼀种⽊马,但它较我们常见的“冰河”、“灰鸽⼦”等⽊马更加隐蔽,它以驱动程序的⽅式挂⼊系统内核,然后它负责执⾏建⽴秘密后门、替换系统正常⽂件、进程隐藏、监控⽹络、记录按键序列等功能,部分Rootkit还能关闭杀毒软件。
⽬前发现的此类模块多为病毒提供隐藏的机制,可见这两类⽂件是相互依赖的。
既然病毒已经被隐藏了,我们从何处⼊⼿发现病毒呢?这⾥就以感染orans.sys蠕⾍病毒的计算机为例,探讨如何检测和查杀该类病毒。
检测病毒体⽂件Norton防病毒软件报告c:windowssystem32orans.sys⽂件为Rootkit型病毒,这⾥可以看到使⽤Rootkit代码的SYS⽂件是⽆法逃过杀毒软件检测的。
那么是否删除了该⽂件就能清除病毒呢,答案是不⾏的。
⾸先在染毒的系统下该⽂件是受保护的,⽆法被删除。
即使⽤户在安全模式下删除了⽂件,重新启动后,另外⼀个未被删除的病毒⽂件将随系统启动,并监控系统。
⼀旦其发现系统的注册表被修改或病毒的SYS⽂件遭删除,病毒就会重新⽣成该⽂件并改回注册表,所以很多时候我们会发现病毒⼜重⽣了。
因此需要同时找到这两个⽂件,⼀并处理。
但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。
这时就需要从系统中的进程找到病毒的蛛丝马迹。
系统⾃带的任务管理器缺少完成这⼀任务的⼀些⾼级功能,不建议使⽤。
这⾥向⼤家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显⽰进程映像⽂件的路径、命令⾏、系统服务名称等相关信息。
鬼影病毒及ROOTKIT技术简介
例子
以超级巡警的主要执行文件AST.exe为例,首先,有个文件名为kkk.exe 的恶意程序向IFEO列表里写入AST.exe项,并设置其Debugger指向 kkk.exe,于是系统就会认为kkk.exe是AST.exe的调试器,这样每次用户 点击执行AST.exe时,系统执行的实际上是作为调试器身份的kkk.exe, 至于本该被执行的AST.exe,此刻只能被当作kkk.exe的执行参数来传递 而已,而由于kkk.exe不是调试器性质的程序,所以被启动的永远只有 kkk.exe自己一个,用户每次点击那些“打不开”的安全工具,实际上就 等于又执行了一次恶意程序本体!这个招数被广大使用“映像劫持”技 术的恶意软件所青睐,随着OSO这款超级U盘病毒与AV终结者(随机数病 毒、8位字母病毒)这两个灭杀了大部分流行安全工具和杀毒软件的恶意 程序肆虐网络以后,一时之间全国上下人心惶惶,其实它们最大改进的 技术核心就是利用IFEO把自己设置为各种流行安全工具的调试器罢了, 破解之道尤其简单,只需要将安全工具的执行文件随便改个名字,而这 个安全工具又不在乎互斥量的存在,那么它就能正常运行了,除非你运 气太好又改到另一个也处于黑名单内的文件名去了,例如把AST.exe改为 IceSword.exe。
鬼影病毒处理方法(续)
2、修复MBR(关键一步,必须做),接着上一步,选择“4.修复”--> “ 修复(F)“ --> 确定。 第三步:重装戒恢复系统。在第二步完成后,千万丌要重启电脑迚入 WINDOWS了,否则会二次感染。
第四步:全盘杀毒。返回WINDOWS后,需要升级你的杀毒软件到最 新版本(最新病毒库),然后迚行“全盘查杀”,这样可以把残留在非 系统盘(比如D盘、E盘、F盘)里的病毒寄主文件杀掉,以做到“斩草 除根”。
后门技术及rootkit工具Knark分析及防范WEB安全电脑资料
后门技术及rootkit工具Knark分析及防范WEB平安电脑资料本文讨论了Linux环境下攻击者入侵成功以后常常使用的一些后门技术,并且对最著名的rootkit工具之一?knark进展了详细的分析,并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复,注意:本文是用于员学习之用,不可用于进展网络攻击否那么带来的任何法律后果自行负责。
本文作者不对由于本文导致的任何后果负任何责任。
一、什么是"rootkit"?入侵者入侵后往往会进展清理脚印和留后门等工作,最常使用的后门创立工具就是rootkit。
不要被名字所迷惑,这个“rootkit”可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创立后门并加以假装用的程序包。
这个程序包里通常包括了日志清理器,后门等程序。
同时,程序包里通常还带有一些伪造的ps、ls、who、w、stat等本来属于系统本身的程序,这样的话,程序员在试图通过这些命令查询系统状况的时候,就无法通过这些假的系统程序觉察入侵者的行踪。
在一些组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。
各种不同的rootkit被开发并在inter上。
在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。
作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被觉察。
一旦被安装运行到目的机器上, 系统就会完全被控制在hacker手中了。
甚至系统管理员根本找不到平安隐患的痕迹, 因为他们不能再信任它们的操作系统了。
后门程序的目的就是甚至系统管理员企图弥补系统破绽的时候也可以给hacker系统的访问权限。
入侵者通过:设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。
*设置uid程序。
在一些文件系统理放一些设置uid脚本程序。
无论何时它们只要执行这个程序它们就会成为root。
隐藏软件的应用工作原理
隐藏软件的应用工作原理什么是隐藏软件?隐藏软件是一种可以在计算机或移动设备上运行的程序,它的主要功能是隐藏自己的存在和操作,使用户无法察觉。
隐藏软件被广泛用于各种场景,包括监控和远程控制等。
隐藏软件有许多不同的工作原理和技术,下面将介绍一些常见的应用工作原理。
1. 隐藏进程隐藏软件的一种常见工作原理是隐藏自身的进程。
进程是计算机中正在运行的程序的实例,每个程序都会在计算机上创建一个或多个进程。
通过隐藏自身的进程,隐藏软件可以在任务管理器等系统工具中不可见。
隐藏进程的常见技术包括:•Rootkit技术:Rootkit是一种可以隐藏进程和其他恶意软件的工具,它可以修改操作系统内核或其他系统组件,以实现隐匿性。
Rootkit技术需要在系统中获得root权限,因此往往用于攻击者对已攻陷的系统进行隐藏。
•注入技术:隐藏软件可以利用注入技术将自己的代码注入到其他进程中,从而隐藏自己的存在。
注入技术可以利用操作系统提供的API,也可以通过更底层的手段实现。
注入技术的实现较为复杂,但可以使隐藏软件更加隐匿。
2. 文件隐藏隐藏软件还可以通过隐藏自己的文件来避免被用户察觉。
文件隐藏的技术根据操作系统和文件系统的不同而有所差异。
文件隐藏的常见技术包括:•改变文件属性:隐藏软件可以通过修改文件属性,如隐藏文件、只读文件等,来隐藏自身。
一些操作系统会将隐藏文件的显示选项默认设置为关闭,用户需要手动开启才能看到这些文件。
•加密文件:隐藏软件可以将自己的文件进行加密,只有正确解密的用户才能查看和操作这些文件。
加密文件可以使隐藏软件更难被察觉,因为即使用户能够看到文件,也无法理解其内容。
•文件名伪装:隐藏软件还可以将自己的文件伪装成其他类型的文件,如图片、音频或文档等,以迷惑用户和系统。
文件名伪装通常需要使用特定的文件格式和技术。
3. 网络通信隐藏软件通常需要与远程服务器进行通信,以接收远程指令和发送收集到的数据。
为了保证隐匿性,隐藏软件通常采用隐蔽的通信方式。
LINUX操作系统下ROOTKIT检测技术研究
LINUX操作系统下ROOTKIT检测技术研究郓宏北京工业大学计算机学院北京100124摘要:Rootkit是攻击者在入侵操作系统后用来保持对系统的超级用户访问权限.创建后门和隐藏攻击痕迹等常采用的一种技术,Rootkit存在于Linux、Solaris和Windows等各种操作系统上.本文所研究的技术辛要用于检测Linux系统下的后门程序Rootlot。
采取了以事后行为的检测为主,实时的检溯为辅的思路。
以检测引擎逐项检测。
而所需的Rootkit特征库定时更新。
另外为了防备用户在使用中触发某蝗恶意程序,柃铡程序也提供了实时监控的功能。
关键’词:RootkitILinuxI操作系统内核I可加载内核模块0引言Linux操作系统由于其源码的公开性和稳定的系统性能,得到了广泛的应用。
Linux系统下远程控制技术的研究正日益成为网络安全领域研究的热点,新一代的攻击技术更加先进,目标直接针对网络基础协议TCPflP和操作系统内核底层。
向传统的信息安全防范机制发起了挑战。
根据对操作系统的入侵层次.Rootkit分为应用级Rootkit和内核级Rootkit两种类型。
应用级Rootkit在操作系统应用层修改系统文件,比较容易预防。
内核级Rootlot攻击操作系统内核,与应用缀Rootkit相比功能更强大,更难检测。
因此内核级Rootkit以其强大的功能和较为完善的隐蔽性更加受到瞩目。
目前仔在的检测Rootkit的工具和方法大部分只能检测到应用级Rootkit,少数能检测到某些特定类型的内核级Rootkit。
及时跟踪和了解Rootkit的发展动态,掌握其核心技术。
并结合实际应用在某些关键方向上有所创新和发展,是一项很有意义的工作。
本文设计并实现了Linux操作系统下Rootkit的检测程序,有效的提高了计算机操作系统的安全。
1Rootkit攻击1.IRootkit攻击原理1.1.1内核级Rootkit的攻击目标内核级Rootkit的攻击目标主要有:(1)系统调用函数。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SSN1672.1438 CN 1'.4994/T 中国观代欺有装备 201 1年第9期 总第121期
W i ndows Ro o tK i t进程隐藏与检测技术的研究 刘正宏 北京电子科技职业学院北京100176
摘 要:目前木马制造者趋于利用RootKit技术来隐藏它们的进程,危害信息与网络安全。重点从用户和内核两种模式深入 剖析Windows RootKit隐藏进程技术,并提出基于进程表的综合检测机制。测试证明:只有从用户和内核两种模式下应用 多种进程表检测技术,才是安全检测隐藏进程更为有效的方法。 关键词:Windows RootKit;远程线程注入;Dkom:进程表
Research on Windows RootKit hidden process and detection technology Liu Zhenghong Beijing vocational college ofelectronic science and technology,Beijing,100176,China Abstract:At present the designers of Trojan Horse tend to use the RootKit technique to hide their process and harm the safety of inform ̄ion and network.This article focuses on using the two modes of user and kernel,this thesis analyses in detail the hidden process technology in Windows RootKit.It also point out the detection mechanism based on processList.Test results proved that only applying various processList detecting technology from two modes of user and Kernel can we test the hidden process more safely and effectively. Key words:Windows RootKit;remotethread injection;Dkom;processList
随着网络的普及与发展,网络安全问题日益突出, 一部分木马制造者已将触角深入系统底层来隐藏木马, 通过修改操作系统内核来隐藏自己,欺骗用户,这就是 RootKit。RootKit的隐藏特性严重影响系统的安全性 和可靠性,而RootKit进程隐藏已成为管理员和安全检 测软件所面临的最为迫切的安全威胁。 1 Wi ndows RootKit介绍 Windows RootKit是一个程序的集合,用于实现自 身及系统中特定资源和活动的隐藏,破坏可信任计算机 的完整性。攻击者通过在系统中种植RootKit,维护一 个系统后门,以管理员权限控制系统,并且通过隐藏进 程、文件、端口、句柄、注册表项、键值等来隐藏攻 击行为。 2 W i ndows RootK i t进程隐藏技术分析 从运行环境和隐藏手段看,主要可归结为2类: 收稿日期:2011-01—11 作者简介:刘正宏,硕士,高级讲师,系主任。 24 (1)用户模式下,修改程序执行路径。 (2)内核模式下,控制和修改操作系统内核结构和 代码。 这两种方式都可以通过挂钩系统重要函数模块、 修改系统中重要数据结构等途径,对系统进程的相关信 息进行劫持与修改,以达隐藏进程的目的。 2.1修改程序执行路径,实现进程隐藏 在用户模式下,修改程序执行路径,实现进程隐藏 主要是通过远程线程注入技术。 2.1.1远程线程注入技术 是指通过在另一个进程中创建远程线程的方法进 入进程的内存地址空间。其核心是产生一个特殊的线 程,这个线程能够将一段执行代码连接到另一个进程所 处的内存空间里,作为另一个进程的其中一个非核心线 程来运行,从而达到交换数据隐藏自身的目的。其中远 程线程注入dll是该技术中最佳方法,为进程隐藏提供了 更大的灵活性。 2.1.2远程线程注入d1l,隐藏进程 远程线程注入dll其意义是将dll文件嵌入到正在运 行的系统进程当中。dll文件是由多个功能函数构成,它 并不能独立运行,所以在进程列表中并不会出现dl1。 hRemoteThred=CreateRemoteThread(hRemoteProce ss,NULL,0,pfnStarAddr,pszLibFileRemote,0,NULL);
2011年5月 2011年第9期 总第121期 中国观代孝 装备 SSN1 672—1438 CN11
-4994/1-
首先把一个实际为木马主体的dll文件(参数 pszLibFileRemote)通过WriteProcessMemory函数 载入内存,然后通过“线程注入”技术,即使用 CreateRemoteThread函数在远程进程中创建一个线程, 将其注入其他进程(地址pfnStarAddr)的内存空间,最后 这个dll里的代码就成为其他进程的一部分来实现了自 身的隐藏。 2.2控制和修改操作系统内核结构和代码,实现进 程隐藏 在内核模式下,Windows RootKit进程隐藏方法主 要有通过挂钩系统服务描述表(SSDT) ̄B直接修改操作 系统用于监控系统资源的数据(DKOM技术1。 2.2.1通过挂钩系统服务描述表(SSDT),实现进程 隐藏 SSDT表是函数地址表,其中存放了所有系统服 务函数的入口地址。系统服务调度程序通过查找 SSDT来调用相应的系统服务。因此,RootKit可以将 S SDT中的系统服务地址替换为自己代码的地址,由 RootKit代码调用真正的系统服务并对结果作相应 处理,再通过Hook劫持ZwQuerySystemlnformation或 NtQuerySystemlnformaion修改其返回数据,删除需要隐 藏的进程的信息。 2.2.2通过直接内核对象操作技术(DKOM),实现进 程隐藏 操作系统通过创建相关内核对象来登记和审计系 统资源,DKOM则通过修改这些内核对象来隐藏特定资 源,即主要通过修改活动进程列表实现进程隐藏。 (1)进程隐藏原理 Windows操作系统中,枚举进程使用的是活动进程 列表PsActiveProcessList,它是一个双向链表,每个结点 对应一个进程的EPROCESS数据结构,所有结点通过 EPROCESS结构中的ActiveProcessLinks双向指针链在 一起,通过修改两个指针可以隐藏指定进程。即把当前 进程的前一个进程的BLINK指向当前进程后一个进程 的FLINK,再把当前进程后一个进程的FLINK ̄向当前 进程前一个进程的FLINK( ̄H图1所示)。 、一..一..一..一.......…. 图1修改活动进程列表实现进程隐藏原理图 2011年5月 (2)进程隐藏实现 ①定位双向链表,确定当前进程。Windows具有唯 一的内核处理器控制块结构(KPRCB),它总是位于内 存地址0xffdffl20处,这个地址偏移0x124就是指向当前 ETHEREAD的指针,从这个ETHREAD再往下偏移一个 值就是当前进程的FLINK了(如图1所示)。这个值因系 统不同而各不相同,Windows2000下是0xA0,Windows xp下是0x88。 ②从P sActiveLink链表上摘下当前进程,实现 隐藏。Windows系统将所有的进程对象EPROCESS 链接到ACtiveProCes sLink上,但链表由一个未导 出内核全局变量PsActiveProceSsHead,通过遍历 ActiveProcessLink可以获得所有的进程信息,如果将一 个当前进程EPROCESS对象从PsActiveLink链表上摘 下来,NtQuerySystemlnformation ̄数最终遍历该链表返 回进程相关的信息,将无法检测到从PsActiveLink链表 中摘下的当前进程。部分实现代码是: ntStatus=PsLookupProcessByProcessld(Processld, &pEprocess);
RemoveEntryI.ist((PLIST ENTRY)((PUCHAR) pEprocess+0xA0)); RemoveEntryList((PLIST ENTRY)((PUCHAR) pEprocess+0x88));
通过调用PsLookupProcessByProcessId例程得到 指向指定Processld的EPROCESS对象的指针,然后调用 RemoveEntryList将其从链表上摘下。
3基于进程表的综合检测隐藏进程机制 3.1用户模式下的隐藏进程检测机制 3.1.1原理 每一个进程活动时都会暴露一些痕迹,包括打开 的句柄、窗口和创建的系统对象等,可以通过这些痕 迹检测,获取进程列表,检测隐藏进程。 3.1.2分析进程相关句柄获取进程列表 取得进程句柄后,可以用ZwQuerylnformationProcess 确定其PID。对于线程,可以调用ZwQuerylnformationThread 并得到其进程的ID。系统中所有的进程都是由某个进 程启动的,所以,可以通过检查其他进程(父进程或 csrss.exe)@的句柄来获取进程列表。 3.1.3直接使用系统调用获取进程列表 在用户模式下隐藏进程的常用方法是将自己 的代码或dIl注入其他的进程并截获ntdl1.dll中的
25