在win7下,通过hook advapi.dll的EnumServicesStatusEx API,在返回链表中,将指定服务脱链。
即可实现服务隐藏。但在win10中,taskmgr.exe不再通过advapi.dll操作服务。
导致此方式无效,不能实现隐藏。
至于读取services.exe的进程内存,并修改。在win10上更加不可用(系统对此进行了防护)。况且taskmgr不操作ReadProcessMemory API。。。
各位大佬,有研究过win10隐藏服务的不? 给点建设性的意见。(API Monitor分析了一周,实在无头绪)