老生常谈:您用过网上广为流传的那段HideProcess代码吗?好使吗?

代码就不贴了,满世界都是。我在xp sp2下可以隐藏,2k sp4就隐藏不了了,据说还有在2k下可以,xp下不可以的,还有蓝屏重启的,闹腾的呀。
就我这儿2k的情况来看,有两种失败的情况,有时候是PDE表里item的值为零,有时又是PTE表里的item对应的page不在内存中,反正是一点规律都没有。怀疑是不是2k里PDE表的起始地址不是0x30000啊,郁闷大家都说说自己用的情况吧。

解决方案 »

  1.   

    没在2k下用过xp下正常,不过被偶口耐滴NOD32认为是木马程序
      

  2.   

    就是把内核内存映射到用户内存,然后再修改活动进程链表的那段,搜一下HideProcess,应该很多。
      

  3.   

    唉这问题想来也没人给提建议了。
    既然隐藏不掉,那就想办法不让用户在taskmgr里强行结束吧,我就向进程内核对象的DACL里加了一条ACE,内容是禁止在当前用户下运行的程序以PROCESS_TERMINATE方式打开它,这回在2k下可以禁止强行结束了,在xp下又禁止不了了,好像xp下的taskmgr把自己的privilege提到了debug级别的了。
    有没有什么办法可以在xp下禁止用户在taskmgr里关掉程序呢?
      

  4.   

    在2K和XP下都用过。想来,觉得怪吓人的。出于稳定的考虑,又不用了。
      

  5.   

    用LOCAL SYSTEM帐号来运行你的程序?
      

  6.   

    不是的,应该是冲突来着,我运行这个代码那么多次都没出现问题,很正常,但今天装了tiny后,它有监控API功能的,一关上面那段代码就会死机器了.
      

  7.   

    to KeSummer([IN]LPVOID YourLove [OUT]LPVOID MyLove):
    反正就是不稳定了,也有人在内核模式下直接修改这个活动进程链表的,我总觉得没有一定的同步措施,总是会出乱子的。to Stefine(混来D五个裤叉,反思&努力ing):
    不是流氓软件,一些涉及安全类的监控产品也会有这样的要求的。
      

  8.   

    [email protected]
    谢谢楼上兄弟,我研究一下^_^
      

  9.   

    糟糕,怎么没有收到?这破邮箱。
    换一个: [email protected]
    老兄再麻烦一下:)