摘要:
http://hi.baidu.com/zapline/item/512059e3bd963ea9ce2d4f36kd> dg @fs P Si Gr Pr LoSel Base Limit Type l ze an es ng Flags---- -------- -------- ---------- - -- -- -- -- --------0030 ffdff000 00001fff Data RW 0 Bg Pg P Nl 00000c92kd> dt ffdff000 _kpcrn... 阅读全文
摘要:
http://www.cnblogs.com/Tbit/archive/2010/09/16/1828442.html关于进程的枚举,以及查看进程信息,和查杀进程...等等..都是很古老的东西了,但是基础是改变不了的.首先看看关于进程的枚举吧,当前ark的驱动枚举进程,离不开V大的这个思路表(如下):killvxk的驱动查进程:1.native api获得进程表a2.通过activelist获得进程表b3.通过pspCidTable获得进程表c4.通过handletablelisthead获得进程表d5.通过csrss的handletable用2种方法枚举获得进程表e和f6.通过扫描当前进程的 阅读全文
摘要:
http://blog.csdn.net/yeook/article/details/6705225基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一. pspCidTable概念及内核调试二. 获取pspCidTable的方法三. 几种进程检测方法的对比四. anti-pspCidTable技术及其他一. pspCidTable概念及内核调试-----------------------------------------------------pspCidTable是内核未导出的HANDLE_TALB... 阅读全文
摘要:
http://hi.baidu.com/hanjdud8606/item/7a970408a95acc843d42e27fNTSTATUS NTAPI ZwQuerySystemInformation( ULONG SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength); 第一个参数是一个枚举类型,传入的是你需要查询的信息的类型,如果你要查询进程的相关信息,则你需要传入SystemProcessesA... 阅读全文
摘要:
标 题:【原创】内核态进程管理器Intercessor和实现细节作 者:greatcsk时 间:2007-09-05,20:20链 接:http://bbs.pediy.com/showthread.php?t=51157BLOG原文:http://www.csksoft.net/blog/post/Intercessor_taskmgr.html相关文件:已经修改下载地址下载地址:http://www.csksoft.net/Intercessor_report_src_bin.rar由于文件太大,无法作为附件提供,抱歉原理和核心驱动代码下载:ftp://FTP_Visitor:visito 阅读全文