为什么每个进程都有四个不同的ID(XP SP2)? 请高手指教!
0496 0x0000009C \??\C:\WINDOWS\system32\csrss.exe
0497 0x0000009C \??\C:\WINDOWS\system32\csrss.exe
0498 0x0000009C \??\C:\WINDOWS\system32\csrss.exe
0499 0x0000009C \??\C:\WINDOWS\system32\csrss.exe
0520 0x0000009C \??\C:\WINDOWS\system32\winlogon.exe
0521 0x0000009C \??\C:\WINDOWS\system32\winlogon.exe
0522 0x0000009C \??\C:\WINDOWS\system32\winlogon.exe
0523 0x0000009C \??\C:\WINDOWS\system32\winlogon.exe
0564 0x0000009C C:\WINDOWS\system32\services.exe
0565 0x0000009C C:\WINDOWS\system32\services.exe
0566 0x0000009C C:\WINDOWS\system32\services.exe
0567 0x0000009C C:\WINDOWS\system32\services.exe
0576 0x0000009C C:\WINDOWS\system32\lsass.exe
0577 0x0000009C C:\WINDOWS\system32\lsass.exe
0578 0x0000009C C:\WINDOWS\system32\lsass.exe
0579 0x0000009C C:\WINDOWS\system32\lsass.exe
.......
......
请注意 上面显示的是同一个进程有四个不同的ID 并不是一个EXE打开四次显示的
根据上面的原理 有一个神奇的关闭RootkitUnhooker的方法 就是将RootkitUnhooker的进程ID+1\+2\+3 然后就能轻易地将其关闭.因为RootkitUnhooker HOOK 了NtOpenProcess 直接用原来的进程ID 是无法将它的进程打开的