為什麼每個程式都有四個不同的ID(XP SP2)? 請高手指教!
0496 0x0000009C \??\C:\WINDOWS\system32\csrss.exe
0497 0x0000009C \??\C:\WINDOWS\system32\csrss.exe
0498 0x0000009C \??\C:\WINDOWS\system32\csrss.exe
0499 0x0000009C \??\C:\WINDOWS\system32\csrss.exe
0520 0x0000009C \??\C:\WINDOWS\system32\winlogon.exe
0521 0x0000009C \??\C:\WINDOWS\system32\winlogon.exe
0522 0x0000009C \??\C:\WINDOWS\system32\winlogon.exe
0523 0x0000009C \??\C:\WINDOWS\system32\winlogon.exe
0564 0x0000009C C:\WINDOWS\system32\services.exe
0565 0x0000009C C:\WINDOWS\system32\services.exe
0566 0x0000009C C:\WINDOWS\system32\services.exe
0567 0x0000009C C:\WINDOWS\system32\services.exe
0576 0x0000009C C:\WINDOWS\system32\lsass.exe
0577 0x0000009C C:\WINDOWS\system32\lsass.exe
0578 0x0000009C C:\WINDOWS\system32\lsass.exe
0579 0x0000009C C:\WINDOWS\system32\lsass.exe
.......
......
請注意 上面顯示的是同一個程式有四個不同的ID 並不是一個EXE開啟四次顯示的
根據上面的原理 有一個神奇的關閉RootkitUnhooker的方法 就是將RootkitUnhooker的程式ID+1\+2\+3 然後就能輕易地將其關閉.因為RootkitUnhooker HOOK 了NtOpenProcess 直接用原來的程式ID 是無法將它的程式開啟的