ProcessHacker学习笔记
ProcessHacker是一款拥有windows任务管理器的开源软件。学习该软件,可增长windows操作系统多方面系统机制知识和性能统计设计的能力。
1、获取进程内存占用率
windows系统下,无论任何版本,都可以在任务管理器下查看各个进程的内存占用率。
XP 2003系统下显示的是进程占用的内存工作集也就是PROCESS_MEMORY_COUNTERS
转载
2024-04-19 09:36:09
1641阅读
Process Hacker是一款免费且强大的多功能工具,可以利用该工具来监控自己的系统资源,调试软件、病毒查杀、恶意软件检测、逆向等,是一款能和PCHunter相媲美Windows系统神器。系统要求Windows7及以上版本,支持32位或64位。功能介绍-提供详细的系统活动信息概览,并且高亮显示; -提供图标数据和统计数据,可帮助我们快速追踪目标资源和进程; -不能编辑或
转载
2024-04-29 18:55:55
307阅读
Overview进程的描述进程的状态 State线程 Thread进程间通信 Inter-Process Communication进程互斥与同步死锁 DeadLock进程的描述在操作系统中,通常来说进程 Process 是当前正在执行的东西。因此,一个具有一定独立功能的程序在一个数据集合上的一次动态执行过程,可以称之为进程。程序是静态的文件进程是程序动态执行的过程进程的组成进程包括 :程序的代码
通过Hook SSDT (System Service Dispatch Table) 隐藏进程 1.原理介绍: Windows操作系统是一种分层的架构体系。应用层的程序是通过API来访问操作系统。而API又是通过ntdll里面的核心API来进行系统服务的查询。核心API通过对int 2e的切换,从用户模式转换到内核模式。2
进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装。 傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建“傀儡进程”。 进程隐藏:通过HOOK函数ZwQuerySystemInfomation来实现进程隐藏。1 进程伪装实现原理就是修改指定进程环境块中的进程路径ImagePathName以及命令行CommandLine信息,从而达到进程伪装的效果。所以,实现的关键在于进程环境块
总结一下进程隐藏的一些基本套路吧,适合萌新。 关于进程隐藏,网上说的最多的就是hook NtQuerySystemInformation吧,要么就是在内核去操作ActiveProcessLinks链表,这其实都是一个原理,都是去操作内核的活动进程链表,这个方法也着实有效 kd> dt _eproces
20145319 《网络渗透》免考—进程隐藏概述实验的主要目的是通过ap ihook技术对系统回调函数进行hook,拦截系统任务管理器对进程信息的获取,并做出相应修改,从而实现目标进程在任务管理器的列表中“隐藏”主要知识如下:
注入技术api hook相关技术实验内容概念之前,我们了解了如何做到让一个程序实现任务栏隐藏来做到在用户眼中“隐身”,但如果用户打开任务管理器就能发现后台有一个未知程序正在
转载
2024-03-27 13:31:15
191阅读
WinNT & Win2K下实现进程的完全隐藏作者:AntGhazi 主页:antghazi.yeah.net 面对众多的计算机高手,考虑许久,终于还是决定出来献丑一下,文章内尽量使用最简洁易懂的词汇及例子来介绍,希望能够对一些初学与进阶者有所帮助。 关于进程的隐藏,98下的例子数不胜数。WinNT/Win2K下的隐藏
转载
2024-06-04 12:08:51
92阅读
我们知道cpu主要两个品牌,intel和AMD,如果你不知道怎么选择,请点这里:如果你只是想知道买电脑的时候“酷睿i5-4590”指的啥,怎么代表好坏,那就好好看看下面的内容:如上图,以i7的cpu为例子来说:Intel Core,代表的品牌;i7,代表系列,除了i系列外,还有e系列、x系列、q系列、g系列、t系列、p系列,有些系列针对笔记本的,有些系列针对台式机的,还有些专门针对服务器的,下面把
说来惭愧,360一面的时候,面试官问我如何去隐藏一个进程,我说很简单那,从EProcess的ActiveProcessLinks的双向列表中断开就完事了啊,面试官当时也没有提醒我,直到面试完,我自己研究了一下从双向列表中断开,但是发现只能躲过任务管理器的眼睛,但是用PcHunter 还是可以枚举出来的,我自己又试了一下从暴力方式去枚举进程,发现也是枚举出来,这时候我才想到,双向列表的断开,其本质上
在InitStance( )中加入 SHOW_WINDOW(SW_HIDE) 可以实现不在任务栏上显示图标
在初始化里写上如下代码:
::SetWindowLong ( &nbs
转载
2024-05-01 08:05:51
201阅读
有人说这是个问了一百遍的问题,大家为什么一定要编这样的程序呢?不是特权思想在作怪吧:) 有位高手是这么说的,看看有没有帮助。 隐藏进程大法 一般有4种方法: 1)DLL挂靠大法 程序改写为DLL结构,挂靠Explorer.exe上运行 好处:没进程实体,普通进程查看无效 缺点:可以通过代码叫Explor
转载
2023-10-10 22:03:03
17阅读
在前面的文章中,我不止一次谈到隐藏一个进程的方法,该方法在我看来引以为豪地彻底又直接:将task从tasks链表摘除。 将task从pid链表摘除。 如此一来除非你扫描run queue或者扫描内存进行特征匹配,否则很难找到这个被隐藏的进程:task即使被隐藏也要进入run queue运行。 task的字段值或者其地址本身具有特征。 当然,前面提到的perf probe/trace,dump st
转载
2024-05-07 18:24:24
774阅读
上期我们以Jenkins为例,一边实战一边了解Docker的基础命令。这期,我们将带大家使用Docker搭建三个平时测试工作中非常有用的小工具。学会这三个实战之后,你就可以说对Docker不是浅尝即止在理论阶段,而是真正有一定了解,也能为你的工作,真正的解决一部分问题。官网下载node_exporter 。地址:https://prometheus.io/2.启动下载好的node_exporter
转载
2024-10-24 11:36:01
115阅读
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx更新:支持seh,原理自己逆下 将seh挂到其它模块上而已.看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了.没必要藏着,人生没有必要为这些小玩意小打小闹。看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊!还有半年来也没怎么发博客,惭愧惭愧。
转载
2023-07-16 21:03:08
248阅读
上期我们以Jenkins为例,一边实战一边了解Docker的基础命令。这期,我们将带大家使用Docker搭建三个平时测试工作中非常有用的小工具。学会这三个实战之后,你就可以说对Docker不是浅尝即止在理论阶段,而是真正有一定了解,也能为你的工作,真正的解决一部分问题。\n\使用Docker搭建prometheus+grafana的服务器监控 使用Docker搭建prometheus+graf
转自本文在不修改ps或top命令的任何代码与采用将进程号置0的方法的前提下,实现隐藏进程,本程序在CRUX 2.2上实现 1、原理 Linux中,可以通过/proc文件系统访问到许多内核的内部信息。/proc文件系统最初的设计也是用于方便地访问进程相关的信息,因此命名为proc。现在这个文件系统已用于反映系统中方方面面的信息,例如/proc/module
转载
2024-03-01 14:31:49
130阅读
interface function MyHideProcess: Boolean; implementation uses Windows, Classes, AclAPI, accCtrl; type NTSTATUS = LongInt; const //...
转载
2014-10-18 14:14:00
249阅读
2评论
隐藏进程(Stealth Process)在代码逆向分析领域中的专业术语为RootKit.它是指通过修改(hooking)系统内核来隐藏进程、文件、注册表等的一项技术.IAT钩取是通过修改IAT值来实现,而API代码修改则是通过将API代码的前五个字节修改为JMP xxxxxxx 指令来钩取API.此种方法的唯一限制是API代码总长度要 ≥ 5字节. 流程如下:1. 正常执行到钩取的函数
前面我们介绍了如何修改/proc目录读取函数的方法实现进程隐藏。这篇博文将介绍另一种方法—— 劫持系统调用实现进程隐藏。其基本原理是:加载一个内核模块(LKM),通过劫持系统调用sys_getdents()来针对进程文件进行适当的过滤,从而达到隐藏进程文件的目的。 由于实验方法一时,已经修改过了proc_pid_readdir函数,这会影响方法二的实现,因此必须把方法一中所做的修改恢复。打开
