![[레벨:7]](http://www.hks9999.com/modules/point/icons/default/7.gif "포인트:4690루찌 (20%), 레벨:7/30"){kind=icon}
hks9999fullc0de님 블로그 참고 : http://fullc0de.egloos.com/3708461
즉, 프로세스가 가질 수 있는 ID 가능 범위(0 ~ 0x41DC)까지 모두 순차적으로 진행하면서 OpenProcess 함수를 호출하여 유효성 여부를 검사한다. 그 후 CreateToolhelp32Snapshot 함수를 이용하여 현재 동작 중으로 나타나는 프로세스 리스트를 얻는다. 그리고 비교한다. 만약 스냅샷 함수를 통해 구한 리스트에는 없는데 OpenProcess로 얻은 리스트에는 존재한다면 숨겨져(hidden) 있다고 판단할 수 있다.
물론, 이것을 우회하기 위한 기법이 적용된 루트킷 중 대표적인 것이 FUTo이다.
PspCidTable 관련 자료
즉, 프로세스가 가질 수 있는 ID 가능 범위(0 ~ 0x41DC)까지 모두 순차적으로 진행하면서 OpenProcess 함수를 호출하여 유효성 여부를 검사한다. 그 후 CreateToolhelp32Snapshot 함수를 이용하여 현재 동작 중으로 나타나는 프로세스 리스트를 얻는다. 그리고 비교한다. 만약 스냅샷 함수를 통해 구한 리스트에는 없는데 OpenProcess로 얻은 리스트에는 존재한다면 숨겨져(hidden) 있다고 판단할 수 있다.
물론, 이것을 우회하기 위한 기법이 적용된 루트킷 중 대표적인 것이 FUTo이다.
PspCidTable 관련 자료
http://lucid7.egloos.com/1887320 -
Widgets
![[레벨:5]](http://www.hks9999.com/modules/point/icons/default/5.gif "포인트:3125루찌 (88%), 레벨:5/30"){kind=icon}
angel![[레벨:1]](http://www.hks9999.com/modules/point/icons/default/1.gif "포인트:90루찌 (0%), 레벨:1/30"){kind=icon}
kmyou![[레벨:0]](http://www.hks9999.com/modules/point/icons/default/0.gif "포인트:65루찌 (72%), 레벨:0/30"){kind=icon}
득득득
