Wiezerzz 发表于 2025-7-23 23:38:47

关于隐藏线程

1、在NTOSKRNL的范围内寻找jmp rcx的机器码(ff e1)并记录到变量addr
2、PsCreateSystemThread(p0,p1,p2,p3,p4,addr,你的线程函数指针);
修改起始地址指向正常模块
如何欺骗这个线程的堆栈   好实现吗还有其他方法防止被找到这个线程吗

Tesla.Angela 发表于 5 天前

线程的堆栈肯定是不好欺骗的,除非你用虚拟化来处理内存读写。。。
页: [1]
查看完整版本: 关于隐藏线程