你得先知道它是怎么隐藏的,可能是被HOOK了系统的API,你恢复一下就行了
还有一种方法是穷举所有的PID值直接打开进程的空间
当然得先把系统可见的PID排除,然后穷举
for
i:=0
to
10000
{这个值可以再大些,没关系}
do
begin
if
i=系统可见的
then
//系统可见的,肯定不是要找的进程
else
begin
if
OpenProcess(XXX,XXX,i)>0
then
begin
//可能就是要找的进程的PID
end
end
end
我不是说了麻,系统中能列出的可以直接跳过
if
i=系统可见的
then
//系统可见的,肯定不是要找的进程
else
这里跳过系统中可见的
那得看它是如何隐藏的,是HOOK
API的,还是删除了进程的双向链表的对象的
不过这些都得在内核中 *** 作,穷举是最方便不过的事情了
不过键盘HOOK使用底层键盘HOOKWH_KEYBOARD_LL或是用GinaDLL(NoReboot.dll)
,我从来没成功过,有些黑客软件可以屏蔽系统健再模仿登陆窗口而盗取密码,你可以找一找
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)