直接修改内核对象隐藏进程.docVIP

标 题:?【原创】直接修改内核对象隐藏进程作 者:?guolijie时 间:?2008-05-12,10:13:16链 接:?/showthread.php?t=64728Windows?NT/2000/XP/2003操作系统具有描述了进程的可执行对象。Taskmgr.exe列出机器上运行的进程。ZwQuerySystemInformation?也使用这?些?对象列出运行的进程，修改这?些?对象，可以隐藏进程。??????通过遍历?在每?个进程的EPROCESS结构中引用的一个双向链表，EPROCESS结构包含一个具有指针成员FLINK和BLINK的lLIST_ENTRY结构。这两个指针分别指向当前进程描述符的前方和后方进程，通过修改这?两个指针可以隐藏指定进程。??????本程序通过用户空间程序获的进程ID，EPROCESS块?中FLINK和?PID的偏移量?，传送给驱动程序，驱动程序修改链表隐藏进程。而通过PsGetCurrentProcess可以得到当前进程的指针，顺藤摸瓜就可找到要隐藏的进程。以下是代码。驱动程序#include?ntddk.h#include?stdio.h#include?stdlib.htypedef?BOOLEAN?BOOL;typedef?unsigned?long?DWORD;typedef?DWORD?*?PDWO