代码就不贴了,满世界都是。我在xp sp2下可以隐藏,2k sp4就隐藏不了了,据说还有在2k下可以,xp下不可以的,还有蓝屏重启的,闹腾的呀。
就我这儿2k的情况来看,有两种失败的情况,有时候是PDE表里item的值为零,有时又是PTE表里的item对应的page不在内存中,反正是一点规律都没有。怀疑是不是2k里PDE表的起始地址不是0x30000啊,郁闷大家都说说自己用的情况吧。
就我这儿2k的情况来看,有两种失败的情况,有时候是PDE表里item的值为零,有时又是PTE表里的item对应的page不在内存中,反正是一点规律都没有。怀疑是不是2k里PDE表的起始地址不是0x30000啊,郁闷大家都说说自己用的情况吧。
既然隐藏不掉,那就想办法不让用户在taskmgr里强行结束吧,我就向进程内核对象的DACL里加了一条ACE,内容是禁止在当前用户下运行的程序以PROCESS_TERMINATE方式打开它,这回在2k下可以禁止强行结束了,在xp下又禁止不了了,好像xp下的taskmgr把自己的privilege提到了debug级别的了。
有没有什么办法可以在xp下禁止用户在taskmgr里关掉程序呢?
反正就是不稳定了,也有人在内核模式下直接修改这个活动进程链表的,我总觉得没有一定的同步措施,总是会出乱子的。to Stefine(混来D五个裤叉,反思&努力ing):
不是流氓软件,一些涉及安全类的监控产品也会有这样的要求的。
谢谢楼上兄弟,我研究一下^_^
换一个: [email protected]
老兄再麻烦一下:)