一个简单的windows HOOK - 隐藏进程管理器中特定的进程
(适用平台:windows 2000 sp4,windows XP sp2)
屏蔽任务管理器中的进程名称有很多种方法,可以在ring0级做文章:
修改内核进程链表,拦截内核API等。我这里只给出win32下的实现,原
理是最普通的 windows 钩子机制。实现语言 win32 汇编 (masm32):
0 在DllEntry中处理资源取得和产生"工作"线程:
mov eax,_hinstance mov hinstance,eax
.if _dwreason == DLL_PROCESS_ATTACH .if cutme == 0 mov cutme,1 .else invoke CreateThread,NULL,0,addr CTProcEx,0,0,/ addr tid .endif .elseif _dwreason == DLL_PROCESS_DETACH
