|
|
发表于 2010-9-5 09:26:07
|
显示全部楼层
ObReferenceObjectByHandle - NtTerminateProcess(Thread)
ObReferenceObjectByPointer - ObOpenObjectByPointer
ObReferenceObjectSafe - PsLookupProcess(Thread)ByProcess(Thread)Id
其中第三个在Xp上还能造成进程隐藏的效果.
PS:搞什么搞,我说的是在PspExitProcess或ObKillProcess里搞死循环,然后进程就"结束不掉"了.真是的,个人观点只能是个人观点.还有,硬编码"找茬"毕竟只能给系统找茬,在Xp上的多核和双核内核文件还有些函数头不一样呢.还是从导出函数找好,不过像微点这种**的,居然在PsTerminateSystemThread做CallHook,不过这样就好玩了,我们也可以拦截微点的处理函数...... |
|
发表于 2010-9-5 01:03:31
