shulun743 - 2011-4-29 16:23:00
发现 有很多进程 ,瑞星看不到 ,希望 瑞星能做成 ARK 软件
建议:
一、查看进程、
枚举SessionProcessLinks链表实现,用此方式枚举出来的进程有这样一个优点---枚举出来的进程是按启动顺序排列的,最后启动的进程永远在最后一个,这样可以很容易的察看一些可以进程。结合枚举系统句柄表方式来枚举进程的。此法可以枚举出脱链的隐藏进程方式的程序。通过枚举SessionProcessLinks链表和枚举系统句柄表,这种综合方式可以枚举出目前大部分的隐藏进程。
二、结束进程、
a、常规的以NtTerminateProcess方式
b、以投递APC方式杀进程
c、“特征码终止”(此方式是结合了第一种方式再加上特征码验证,使用此方式结束了的进程将无法再次启动,如果无意中结束错了,可以在“高级操作”里选择特征码管理,在里面把其删除即可,此方式的设计主要是针对一些多进程相互守护的病毒程序。
d、进程内存清零
三、增加 线程显示
a、以线程链表方式枚举线程
四、终止线程 ---请添加
a、NtTerminateThread方式
b、 APC方式
五、枚举模块
a、通过PEB的方式来枚举进程模块,此方法的优点是枚举出来的模块是按先后加载顺序排列起来的
b、在驱动层下用NtQueryVirtualMemory方式枚举的,此方式效果非常好
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)
© 2000 - 2024 Rising Corp. Ltd.