Win64 驱动内核编程-21.DKOM隐藏和保护进程

本文介绍了DKOM(Direct Kernel Object Manipulation)在Windows 64位系统中如何隐藏和保护进程,核心是操作EPROCESS结构体的ActiveProcessLinks和Flags字段。通过修改这些字段,可以实现进程的隐藏,使得ZwQuerySystemInformation无法枚举到隐藏的进程,同时设置Flags为0会导致OpenProcess失败。然而,这种方法存在风险,如影响CreateProcess调用和可能导致蓝屏,更适合于Rootkit而非正规软件。文中给出了实现隐藏和保护进程的代码示例。
摘要由CSDN通过智能技术生成

DKOM隐藏和保护进程

主要就是操作链表,以及修改节点内容。

DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例。

关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 

ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,

评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值