Anti Rookit 一：检测隐藏进程 引言 检测隐藏进程除了众所周知的枚举进程ID之外，还有枚举句柄表的方式。不过今天给大家带来的是第三种方法。 探究 应用层通过接口 C r e a t e P r o c e s s \textcolor{cornflowerblue}{CreateProcess} CreateProcess创建进程，在内部会调用到 K e r n e l b