Langouster 's Blog(虾 窝)

周未闲下来写了个小东西，很久前应该就有暴力搜索EPROCESS查找隐藏进程了，我的跟那个思路差不多，只是先找线程再找进程。

这样一来效果肯定会比那个好，但效率也下来了。

程序中也附带了另外两种简单的枚举进程的方法。

个人感觉其实现在用隐藏进程技术的已经不多了，如果发现隐藏进程可以直接干掉。

还是查找隐藏驱动比较实用，等下个周未如果有时间再写个查找隐藏驱动的，包括POOL ROOTKIT。

 
#include "ntddk.h"

身子好久没动了，昨天逼自己做了下俯卧撑，分两次也没做完100个，想想以前我一次就能做完100个的，哎，老了。

好多大学的兄弟抱怨我跟失踪了一样，我如果说忙，这是事实也是借口，再忙给大家回个信息的时间还是有的，以后保持联系。

前些天去小狼的空间转了转，好久好久没去了，文章已经更新了好几页了，全看了一遍，发现还有一篇是写大学时我们这帮兄弟的，太激动太感动了，祝愿他在金山能混的越来越好吧。

那xyzreg和gyzy，三天两头在群里叫嚷，看起来过的很滋润，羡慕。xyzreg过些天还要去人民大会堂领奖，太爽了。

lkd> !process
PROCESS 87cec960  SessionId: 0  Cid: 0bf8    Peb: 7ffd6000  ParentCid: 0c7c
    DirBase: 0ab405e0  ObjectTable: e2a94618  HandleCount: 353.
...

NTSTATUS
  IoAttachDevice(
    IN PDEVICE_OBJECT  SourceDevice,
    IN PUNICODE_STRING  TargetDevice,
    OUT PDEVICE_OBJECT  *AttachedDevice
    );

简单看了下支付宝的密码输入控件，做的“很好很强大”，想重启就重启嘛，还憋着不说。

半夜三更，吃着以前那种白色快餐盒装的蛋炒饭夜宵，想起许三多描述的一个场景：一群北飘的小伙聚在剧组的宾馆前，有的人还爬到门口的树上，等着导演来选群众演员。

突发灵感，发现一个卡巴的小BUG，没什么用，更没什么技术含量，高手飘过。

在开启卡巴自我防护的情况下，我们是不能在卡巴的安装写或修改文件的，但利用点小技巧还是可以绕过的。

代码如下：