[转载]Intercessor 内核级别进程管理软件实现思路及源码分析
Intercessor 内核级别进程管理软件实现思路及源码分析信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
目录
1. Intercessor 功能和特性
1.1 简介
1.2 实现的功能
1.3 特点
直接搜索物理内存探测进程
直接从EPROCESS 结构中获取进程信息
支持常规内存模式和PAE 内存模式
通过内核态Hook SSDT 防止被非法关闭
为今后拓充功能提供可能
1.4 对平台的要求
2. 实现细节和技术
2.1 软件总体构架
2.2 所使用技术和开发环境
2.3 主要功能的实现细节
直接内存搜索枚举内存的原理和实现
获取Idle Process 的EPROCESS 地址
对PAE 环境的支持
防护进程非法关闭的实现
强制结束进程的实现
用户态读写物理内存的实现
动态监视进程创建、销毁的实现
3.软件编译及使用说明
4.参考文献及源代码(C++)
页:
[1]