【文件属性】：
文件名称：User Mode下的隐藏进程检测
文件大小：20KB
文件格式：RAR
更新时间：2012-04-23 11:07:03
隐藏 进程 检测 我们先来看一些简单的方法，这些方法可以用在ring3下，用不着驱动。检测的原理是每一个进程活动时都会暴露一些痕迹，可以通过这些痕迹检测到它们。这些痕迹包括打开的句柄、窗口和创建的系统对象。针对类似的检测方法来实现进程隐藏并不困难，但需要考虑进程工作时可能暴露出的所有迹象。目前还没有一个公开的rootkit做到了这一点（遗憾的是私有版本我也还没见到）。用户模式下的方法实现简单、使用安全，而且效果良好，所以不应轻视它们的作用。
【文件预览】：
隐藏进程检测.txt