教程5-2dkom隐藏进程保护进程.pdfVIP

WIN64 内核编程基础班（作者：胡文亮； ） 用DKOM 的方法来隐藏进程和保护进程，是非常简单的。 代码在10 行之内，但是 效果却非常显著。不过，用DKOM 来隐藏进程是会触发PATCHGUARD 导致蓝屏的，这个大 家要特别注意。 DKOM 隐藏进程和保护进程的本质是操作EPROCESS 结构体，下面先来贴出WINDOWS 7 X64 的EPROCESS 定义，重要部分用红色标注： nt!_EPROCESS +0x000 Pcb :