求教隱藏PROCESS問題
不知哪位大大知道,為何使用在WIN 7 64bit下,在PROCESS EXPLORER下看到可以隱藏,但在WIN 7 64 bit 的任務管理器卻還是出現VOID RemoveListEntry(PLIST_ENTRY ListEntry)
{
KIRQL OldIrql;
OldIrql = KeRaiseIrqlToDpcLevel();
if (ListEntry->Flink != ListEntry &&
ListEntry->Blink != ListEntry &&
ListEntry->Blink->Flink == ListEntry &&
ListEntry->Flink->Blink == ListEntry)
{
ListEntry->Flink->Blink = ListEntry->Blink;
ListEntry->Blink->Flink = ListEntry->Flink;
ListEntry->Flink = ListEntry;
ListEntry->Blink = ListEntry;
}
KeLowerIrql(OldIrql);
}
VOID HideProcess(PEPROCESS Process)
{
RemoveListEntry((PLIST_ENTRY)((ULONG64)Process + PROCESS_ACTIVE_PROCESS_LINKS_OFFSET));
}
WIN7X64下用此代码会蓝屏的。
隐藏进程的话,老老实实用API HOOK吧。 Tesla.Angela 发表于 2013-4-24 21:44 static/image/common/back.gif
WIN7X64下用此代码会蓝屏的。
隐藏进程的话,老老实实用API HOOK吧。
M。來研究看看
页:
[1]