摘要：完整工程：http://files.cnblogs.com/files/Gotogoo/%E8%BF%9B%E7%A8%8B%E7%AE%A1%E7%90%86%E5%99%A8%28x86%26%26x64%29.zip PEB（Process Environment Block，进程环境块）存放 阅读全文

摘要：上面说过了隐藏进程，这篇博客我们就简单描述一下暴力搜索进程。 一个进程要运行，必然会加载到内存中，断链隐藏进程只是把EPROCESS从链表上摘除了，但它还是驻留在内存中的。这样我们就有了找到它的方法。 在内核中，传入进程ID，通过ZwOpenProcess得到句柄，再传入句柄，通过ObReferen 阅读全文

摘要：首先，我们知道，进程体EPROCESS是被系统维护在一个双向链表LIST_ENTRY中的，那么，我们只要把进程的EPROCESS从这个链表中摘除，就可以实现进程隐藏了，当然，这只能瞒过进程管理器和zwQuerySystemInformation，暴力枚举依旧可以发现断链隐藏的进程，因为进程体还在内存 阅读全文