在Windows中进程隐藏的方法有很多,比较流行的有如下三种:1)远程线程插入技术,2)dll注入技术,3)HOOK API技术。对于这三种技术网上的资料比较多,我就不详述了,今天,主要介绍一下基于EPROCESS进程链的进程隐藏技术。
学过操作系统的人知道,系统中的每个进程,系统都会分配一个EPB(excutive process block),该结构包含一系列的数据结构,下图就是EPB的基本结构。
可以看出,每个进程的进程控制块其实是双向连表的一个节点,操作系统也是通过遍历这个链表来获取进程列表的,因此,我们只要将我们需要隐藏的进程从这个链表中摘除,这样就达
阅读(1808) | 评论(0) | 转发(0) |
