隐藏线程
在国外论坛逛发现比较火的隐藏RO线程,隐藏R3线程, 都是抹掉线程双链表,和抹掉CidTable把句柄销毁或者置零, 还有其他的方法吗? 但我发现pchunter还是能检测出来显示红色的线程,是什么原理? 非常奇怪。 摸索了下KPRCB有个waitlist (IdleThread)等待线程表,这个好像没办法抹掉。 请教下,还需要考虑哪些可以过主流ark.这样子隐藏线程是没意义的,因为会导致你的线程啥都做不了。
真正聪明的办法是“借用”线程,就是让你的代码被其它线程执行。比较常用的方法是插入APC和使用WorkItem。 借鸡下蛋?
页:
[1]