家電維修班,手機維修班,電腦維修班,電工班,焊工班,液晶電視維修班,電動工具維修班、電動車摩托車維修班、網絡營銷培訓、網站設計培訓、淘寶培訓---全國招生 家電維修班,手機維修班,電腦維修班,電工班,焊工班,液晶電視維修班,電動工具維修班、電動車摩托車維修班、網絡營銷培訓、網站設計培訓、淘寶培訓---全國招生

中日欧洲精品视频在线-中日韩在线观看-中日韩一区二区三区-中日韩精品视频在线观看-狂野欧美老黑粗又硬-狂野猛交xxxx吃奶

您的位置:網站首頁 > 電器維修資料網 > 正文 >

Icesword列出隱藏進程的方法

★★★★★【文章導讀】:Icesword列出隱藏進程的方法具體內容是:當然了你也不能用調試器調試,因為icesword.exe會在一個timer中不停的重新設置int1,int3的中斷處理函數。設置成windowsntoskrnl.exe中的缺省處理函數。即使你用硬件斷點寄存器也是不管用的。那有的人就會說既然設置成…

來源: 日期:2013-11-20 18:37:45 人氣:標簽:

Icesword列出隱藏進程的方法

  當然了你也不能用調試器調試,因為icesword.exe會在一個timer中不停的重新設置int 1,int 3 的中斷處理函數。設置成windows ntoskrnl.exe 中的缺省處理函數。即使你用硬件斷點寄存器也是不管用的。那有的人就會說既然設置成 windows ntoskrnl.exe中的缺省處理函數就可以使用 windbg 雙機調試.icesword 也做了處理,icesword 會通過 KdDebuggerEnabLED 變量判斷是否允許內核調試。如果允許調試的話. icesword 會調用 KdDISAbleDebugger 函數禁止內核調試。

  第一部分

  (寫的太細了,因為怕被 rootkIT 的作者利用.所以就把第一部分給去掉了.如果需要可以單獨和我聯系)

  寫第二部分

  這里順便在說兩個分析 icesword 中遇到的反調試小陷阱 這里把代碼片段列出來,希望作者原諒

  .text:000xxxF0  mov [ebp+IoControlCode], eax

  .text:000xxxF3  mov eax, [esp+5Ch-6Ch] ; 反調試代碼

  .text:000xxxF7  push eax

  .text:000xxxF8  mov eax, [esp+60h-6Ch]

  .text:000xxxFC  pop ebx

  .text:000xxxFD  cmp eax, ebx

  .text:000xxxFF  jz short LOC_1240B ; 如果沒有被調試則會跳轉

  .text:000xxx01  mov eax, 200EDBh

  .text:000xxx06  not eax

  .text:000xxx08  push eax

  .text:000xxx09  pop edi

  .text:000xxx0A  stosd

  .text:000xxxF3  mov eax, [esp+5Ch+6Ch] 當單步執行到這條指令或者在這條指令上設置斷點的時候,因為當調試器在這條指令上彈出的時候會

  用到被調試程序的堆棧來保存 EFLAGS,CS,EIP, (如果 int 1,或 int 3 處理函數用任務門就可以解決這個問題。)例如 當代碼執行到這條指令時

  ESP = 805E4320h  執行完這條指令是 eax 的值為 [ESP+5Ch-6Ch]=[ESP-10h]=[805E4320h-10h]=[805E4310h] 的值。

  當單步執行到 .text:000xxxF8  mov eax, [esp+60h-6Ch] 指令的時候 ESP=805E432Ch 以為其中入棧了一個 eax 所以 ESP=805E432Ch,

  執行完 .text:000xxxF8  mov eax, [esp+60h-6Ch] 條指令的時候 eax = [ESP+60h-6Ch]=[ESP-Ch]=[805E432Ch-Ch]=[805E4310h]

  如果不調試的情況下 讀的是同一個地址的值,所以兩個值比較應該是相同的 也就是 .text:000xxxFD  cmp eax, ebx 這條指令的比較結果

  應該是相同的。這個指令 .text:000xxxFF  jz short loc_1240B 執行后直接跳轉到。

  如果是被調試器調試的情況下 .text:000xxxFF  jz short loc_1240B 不會跳轉。 如果不跳轉時下面的代碼 會覆蓋掉系統的當前 ETHREAD

  指針。接下來在調用很多系統函數都會導致系統崩潰,并且是崩潰到系統模塊里面,這樣給你定位錯誤帶來誤導。哈哈

  .text:000xxx68  push 1 ; Alignment

  .text:000xxx6A  push 40h ; Length

  .text:000xxx6C  push CurrentEProcessObject ; Address

  .text:000xxx72  call ds:ProbeForRead

  這里是故意做個異常來實現跳轉。如果你在 .text:000xxx72  call ds:ProbeForRead 指令上單步執行的時候調試器會跑飛了,

  也就是說從調試器退出了,沒有繼續跟蹤下去。

  第三部分

  接下來說我們的 PspCidTable 我們找到了 PspCidTable 變量后, PspCidTable [這個 HANDLE_TABLE 的句柄表中,保存著所有進程和線程對象的指針。

  PID(進程ID)和 ThreadID(線程ID)就是在這個句柄表中的索引。這個 HANDLE_TABLE 不屬于任何進程,也沒有鏈在 HANDLE_TABLE 鏈上。全局變量

  PspCidTable 中是指向這個 HANDLE_TABLE 的指針。這個 HANDLE_TABLE 還有一點和別的 HANDLE_TABLE 都不同,就是它的 HANDLE_TABLE_ENTRY 中的

  第一個32bIT 放著的是對象體指針(當然需要轉換)而不是對象頭指針(對象指針就是對象體指針)。] (特別注明 在[]的話不是俺寫的是在網上抄來的

  這里特別感謝 “JIURL玩玩Win2k進程線程篇 HANDLE_TABLE” 文章的作者:JIURL )

  我們之要想到辦法遍歷這個 PspCidTable 句柄表就可以遍歷到系統的所有進程。icesword 為了遍歷這個表他使用了系統為公開的 ntoskrnl.exe的導出函數 ExEnumHandleTable 。

  icesword定位到ntoskrnl.exe導出的ExEnumHandleTable函數。

  這個函數是未公開的函數。

  這個函數的函數原形可能是 VOID STDCALL ExEnumHandleTable (PULONG HandleTable, PVOID Callback, PVOID Param, PHANDLE Handle OPTIONAL);

  其中的參數PULONG HandleTable就可以用 PspCidTable 做參數.

  PVOID Callback的類型為 bool(*EXENUMHANDLETABLECALLBACK)(HANDLE_TALBE_ENTRY*,DWORD PID,PVOID Param)函數指針。

  PVOID Param參數就是傳送給回調函數的參數。

  PHANDLE Handle OPTIONAL 這個參數俺還沒搞懂什么意思。在說俺也用不到他,所以也不管他了隨他去吧。

  當調用 ExEnumHandleTable 函數的時候 函數在每次枚舉到表中的一個句柄時都會調用一次回調函數。

  當調用的 Callback 回調函數返回值為 0 時繼續枚舉句柄表,如果返回 1 時則停止枚舉。


【看看這篇文章在百度的收錄情況】

聯系方式

  • 0731-85579057 , 0731-85569651
  • 點擊這里給我發消息點擊這里給我發消息點擊這里給我發消息
網站欄目導航: 培訓課程 手機硬件 手機軟件 綜合維修 學校資訊 考證指南 就業導航 招生指南 教學管理 入學須知 學校圖片 教學大綱 師資力量 學生感言 學校概況 教學實景 手機維修培訓資訊 電腦維修培訓 維修間故事 手機維修培訓 液晶電視維修培訓 家電維修資料網 電器維修資料網 招生地區 刷機教程 家電維修 手機技巧 老版網站 招生平臺網絡工程
友情鏈接: 監控安裝培訓 電動工具維修 家電維修學校 電工培訓學校 液晶電視維修 焊工培訓學校 電工焊工學校 電腦維修學校 家電維修培訓 電腦維修培訓 家裝電工培訓網絡安裝維護 主板維修 液晶顯示器 筆記本電腦維修 電腦組裝維護 電腦硬件維修 電腦維修 電工考證 電工證 裝修電工 水電工 維修電工 電工 焊接技術 電焊工 焊工 電動設備維修 電動工具維修 制冷維修 空調維修 冰箱維修  更多>>
陽光-手機維修教育品牌學校
點擊這里給我發消息 點擊這里給我發消息 點擊這里給我發消息
電工培訓學校 電動車維修學校 摩托車維修學校 摩托車維修培訓 手機維修培訓 家電維修培訓 電腦維修培訓 電動工具維修培訓 液晶電視維修培訓 安防監控培訓 空調維修培訓 網絡營銷培訓 網站設計培訓 淘寶網店培訓 電器維修培訓 家電維修學校 電工培訓 焊工培訓 電工學校 電工培訓學校 電動車維修學校 摩托車維修學校 摩托車維修培訓 手機維修培訓 家電維修培訓 電腦維修培訓 電動工具維修培訓 液晶電視維修培訓 安防監控培訓 空調維修培訓 網絡營銷培訓 網站設計培訓 淘寶網店培訓 電器維修培訓 家電維修學校 電工培訓 焊工培訓 電工學校 電工培訓學校 電動車維修學校 摩托車維修學校 摩托車維修培訓 手機維修培訓 家電維修培訓 電腦維修培訓 電動工具維修培訓 液晶電視維修培訓 安防監控培訓 空調維修培訓 網絡營銷培訓 網站設計培訓 淘寶網店培訓 電器維修培訓 家電維修學校 電工培訓 焊工培訓 電工學校 電工培訓學校 電動車維修學校 摩托車維修學校 摩托車維修培訓 手機維修培訓 家電維修培訓 電腦維修培訓 電動工具維修培訓 液晶電視維修培訓 安防監控培訓 空調維修培訓 網絡營銷培訓 網站設計培訓 淘寶網店培訓 電器維修培訓 家電維修學校 電工培訓 焊工培訓 電工學校
中山市,固原市,銀川市,玉樹,海東,隴南市,酒泉市,張掖市,天水市,金昌市,蘭州市,榆林市,延安市,渭南市,銅川市,阿里,山南,拉薩市,怒江,文山州,楚雄州,普洱市,昭通市,玉溪市,昆明市,畢節,銅仁,遵義市,貴陽市,甘孜州,資陽市,達州市,宜賓市,南充市,遂寧市,綿陽市,瀘州市,自貢市,三亞市,崇左市,河池市,玉林市,欽州市,梧州市,柳州市,梅州市,肇慶市,湛江市,佛山市,珠海市,韶關市,湘西州,懷化市,郴州市,張家界市,邵陽市,株洲市,仙桃市,隨州市,荊州市,荊門市,襄樊市,黃石市,駐馬店市,信陽市,南陽市,漯河市,中衛市,石嘴山市,海西,海南藏州,黃南州,海北,甘南,慶陽市,平涼市,武威市,白銀市,嘉峪關市,安康市,漢中市,咸陽市,寶雞市,林芝,日喀則,昌都,迪慶,德宏,大理,西雙版納,紅河州,臨滄市,麗江市,保山市,曲靖市,黔東州,黔西州,安順市,六盤水市,涼山州,阿壩州,雅安市,廣安市,眉山市,內江市,廣元市,德陽市,攀枝花市,成都市,海口市,來賓市,百色市,貴港市,北海市,桂林市,南寧市,云浮市,揭陽市,潮州市,清遠市,陽江市,汕尾市,惠州市,茂名市,江門市,汕頭市,深圳市,廣州市,婁底市,永州市,益陽市,岳陽市,湘潭市,長沙市,恩施州,黃岡市,孝感市,鄂州市,十堰市,武漢市,周口市,商丘市,三門峽市,許昌市,焦作市,安陽市,鶴壁市,平頂山市,開封市,鄭州市,聊城市,濱州市,德州市,萊蕪市,日照市,泰安市,煙臺市,濰坊市,東營市,淄博市,上饒市,濟南市,撫州市,宜春市,贛州市,新余市,九江市,景德鎮市,寧德市,南平市,泉州市,莆田市,廈門市,宣城市,亳州市,六安市,宿州市,黃山市,滁州市,安慶市,淮北市,馬鞍山市,蚌埠市,蕪湖市,合肥市,麗水市,舟山市,衢州市,金華市,湖州市,嘉興市,寧波市,宿遷市,鎮江市,鹽城市,連云港市,蘇州市,徐州市,南京市,綏化市,牡丹江市,佳木斯市,大慶市,鶴崗市,哈爾濱市,白城市,白山市,遼源市,吉林市,葫蘆島市,鐵嶺市,盤錦市,阜新市,錦州市,本溪市,鞍山市,沈陽市,錫林郭勒盟,通遼市,烏海市,呂梁市,忻州市,晉中市,晉城市,陽泉市,太原市,廊坊市,承德市,保定市,邯鄲市,唐山市,寧夏,甘肅省,西藏,貴州省,重慶市,廣西,湖南省,河南省,江西省,安徽省,江蘇省,黑龍江省,遼寧省,山西省,天津市,四平市,內蒙古,吳忠市,果洛,西寧市,定西市,商洛市,西安市,那曲,黔南州,巴中市,樂山市,賀州市,防城港市,東莞市,河源市,常德市,衡陽市,咸寧市,宜昌市,濮陽市,新鄉市,洛陽市,菏澤市,臨沂市,威海市,濟寧市,棗莊市,青島市,吉安市,鷹潭市,萍鄉市,南昌市,龍巖市,漳州市,三明市,福州市,池州市,巢湖市,阜陽市,銅陵市,淮南市,臺州市,紹興市,溫州市,杭州市,泰州市,揚州市,淮安市,南通市,常州市,無錫市,大興安嶺,黑河市,七臺河市,伊春市,雙鴨山市,雞西市,齊齊哈爾市,延邊,松原市,通化市,長春市,朝陽市,遼陽市,營口市,丹東市,撫順市,大連市,阿拉善盟,興安盟,烏蘭察布市,巴彥淖爾市,呼倫貝爾市,鄂爾多斯市,赤峰市,包頭市,呼和浩特市,臨汾市,運城市,朔州市,長治市,大同市,衡水市,滄州市,張家口市,邢臺市,秦皇島市,石家莊市,青海省,陜西省,云南省,四川省,海南省,廣東省,湖北省,山東省,福建省,浙江省,上海市,吉林省,河北省,北京市 主站蜘蛛池模板: 99视频偷窥在线精品国自产拍| 天天拍拍国产在线视频| 国产精品久久久久久人妻精品蜜桃| 亚洲a免费| 老师真棒无遮瑕版漫画免费| FREE性丰满HD毛多多| 无人在线观看免费高清视频播放| 九色PORNY丨视频入口| s8sp视频高清在线播放| 网红刘婷hd国产高清| 久久香蕉电影| 村妇偷人内射高潮迭起| 亚洲免费一区二区| 女人一级毛片免费观看| 国产精品麻豆a在线播放| 在线 | 果冻国产传媒61国产免费 在镜头里被CAO翻了H | 国产不卡视频在线| 亚洲中文无码AV在线观看| 欧美精品熟妇乱| 国产午夜精品片一区二区三区 | 亚洲精品国产自在在线观看 | 无人影院在线播放视频| 久久久性色精品国产免费观看| 超碰97人在线视频| 亚洲欧洲日产国码久在线| 欧洲馒头大肥p| 国产又黄又粗又爽又色的视频软件 | bdsm中国精品调教ch| 香艳69xxxxx有声小说| 免费精品国产人妻国语| 国产精品久久久久久久久久免费| 佐山爱巨大肥臀在线| 婷婷开心激情综合五月天| 蕾丝边娱乐网| 国产成人在线视频免费观看| 亚洲日本天堂在线| 亚洲 日本 中文字幕 制服| 男人天堂黄色| 全身无赤裸裸美女网站| 美女大BXXXXN内射| 紧缚束缚调教丨vk|