方法一:目前我实现的一种方法是调用 GetExtendedTcpTable 函数来获取 TCP 连接列表然后获取该 TCP 进程的地址,通过地址来获取进程的句柄,然后对进程名称进行检测。
方法二:获取进程PID然后通过CreateRemoteThread函数注入一个线程然后执行GetCommandLine函数来获取进程的命令行参数(有些参数无法获取到,方法已pass)
已经知该1方法方法存在严重的绕过,比如换个进程名称就没了
进程是 windows 上面的,所以 linux 上面的检测方法无法使用
各位大佬有什么思路可以提供下吗?自闭好久了