虽然我不知道icesword是什么样列举服务的，但估计最终也是通过历遍SCM内部的ServiceRecordList来检测。 为什么呢？看下面。 用附件中的InjectDLL.exe把hideservice.dll注入到Services.exe进程后就会把Alerter服务隐藏掉。用icesword也检测不出Alerter服务了。 代码原理很简单，就是在Services.exe进程找到ServiceRecordList表,将需要隐藏的服务从链表上断开。 既然icesword

密码框查看工具 源代码 (1)密码框查看工具提升自身进程的权限,增加DEBUG权限； (2)根据鼠标位置获得窗口句柄； (3)根据窗口句柄获得所属的进程ID； (4)密码框查看工具以PROCESS_ALL_ACCESS方式打开该进程； (5)往该进程中注入线程代码； (6)建立并执行远程线程，在该远程线程中使用GetWindowText以获取窗口文本； (7)密码框查看工具读取内容并显示。 密码框查看工具软件特点： 无需DLL。 对于该功能的实现，

内核实现DLL注入可以完美绕过KAV 瑞星等杀毒软件 软件 特点 1.内核级的实现，可以动态监控并注入新进程的启动并实现自动注入到新进程中。 2.完美绕过杀毒软件的检测，不会弹出任何提示