遍歷隱藏進程

基本信息

申請?zhí)?/td> CN202010828772.X 申請日 -
公開(公告)號 CN112818345A 公開(公告)日 2021-05-18
申請公布號 CN112818345A 申請公布日 2021-05-18
分類號 G06F21/56 分類 計算;推算;計數(shù);
發(fā)明人 肖宏巖 申請(專利權(quán))人 北京辰信領創(chuàng)信息技術有限公司
代理機構(gòu) 上海氦閃專利代理事務所(普通合伙) 代理人 李明;袁媛
地址 100089 北京市海淀區(qū)中關村奧北科技園領智中心中樓9層901(東升地區(qū))
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及內(nèi)核驅(qū)動技術領域,尤其是遍歷隱藏進程,具體的遍歷進程包括以下步驟:將計算機進程由導出函數(shù)KeSetAffinityThread處理獲得KiSetAffinityThread的地址;從已獲得的KiSetAffinityThread地址往上查找一個字節(jié)獲得一個CMP指令,這個指令繼續(xù)往上查找的一個DWORD就是KiDispatcherReadyListHead;進入KiDispatcherReadyListHead后,通過SSDT獲取KiDispatcherReadyListHead的地址,并將指令lea裝載KiDispatcherReadyListHead的地址,并準備遍歷程序;判斷KiWaitListEntry鏈表里可以指向Wait List Entry或者Queue List Entry任一位置的指針的指向;通過Thread Process域得到遍歷的進程的EPROCESS,通過EPROCESS可以獲得遍歷的進程的全部信息,本發(fā)明通過遍歷線程結(jié)構(gòu)中的鏈表,能夠查到出所有計算機中正在運行的木馬病毒,可以提高反病毒工具查找隱藏程序的能力。