UC知道拒绝访问进程的建立?
来源:百度知道 编辑:UC知道 时间:2024/05/11 02:06:47
现象:1,有些进程可以用ntsd结束,但不能用taskkill结束,请帮我讲解下taskkill和nstd的机制,为何存在不同
很多杀毒软件和windows的一些系统进程用taskkill /f /pid 或ntsd -c q -p PID都不能结束,提示拒绝访问活着其他,请问这些进程是如何建立的,
记得以前见过一个批处理教程,可以通过改注册表新建此类教程,但已经忘了,请帮忙解决下,
3.隐藏进程建立的原理,就是在普通的任务管理器种看不到的进程
很多杀毒软件和windows的一些系统进程用taskkill /f /pid 或ntsd -c q -p PID都不能结束,提示拒绝访问活着其他,请问这些进程是如何建立的,
记得以前见过一个批处理教程,可以通过改注册表新建此类教程,但已经忘了,请帮忙解决下,
3.隐藏进程建立的原理,就是在普通的任务管理器种看不到的进程
回答1、taskkill是建立在windows下,nstd是建立在dos下,就是debug。所以dos能做到的事,windows下一定不会做到。
2、这主要是加载了驱动来保护自己,一般需要卸载驱动,停止服务才能够做到。他是建立在SYSTEM用户中,权限很高。
3、任务管理器使用NtQuerySystemInformation,来显示进程
所以要HOOK NtQuerySystemInformation,这个函数
而且,此API不在用户态,存在于SSDT(系统服务调度表)
要在驱动级Hook
还有一种方式是去掉进程双向链表中的自身(直接操作内核对象,也要在驱动中进行)