HOOK SwapContext 枚举隐藏进程(学习笔记4)(1)

最新推荐文章于 2022-08-21 12:50:09 发布
最新推荐文章于 2022-08-21 12:50:09 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 驱动开发学习 文章标签: hook thread byte c 汇编 system

HOOK SwapContext 枚举隐藏进程(学习笔记4)

作者: A盾电脑防护 | 分类: 分类: 进程 | 标签: | 2012-2-21

作 者: bzhkl


以前想检测一个被隐藏的进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有用的模块 自己整合实现了下 确定支持XP3, XP2没测试 应该也能支持 

附完整工程代码

 

难点:是得到SwapContext地址 还有一些细节问题~

原理:KiSwapContext调用SwapContext时候 ESI存放的是要换进线程的上下文 EDI存放的是要换出线程的上下文 然后截获ESI 即换进的ETHREAD 得到相应的EPROCESS 然后搜集

缺点:对系统性能影响非常大,因为系统线程调度很频繁, wrk的KiSwapContext用汇编写的就能体现出来对效率的要求高~.

 

另外有个有趣的问题 

KiSwapContext 是fastcall调用方式  就是通过ECX EDX传 多出的按STDCALL传

WRK 是这样注释的 

; BOOLEAN

; KiSwapContext (

;    IN PKTHREAD OldThread

;    IN PKTHREAD NewThread

;    )

但是看下 WRK中的代码 

        mov     edi, ecx                ; set old thread address

        mov     esi, edx                ; set next thread address

        movzx   ecx, byte ptr [edi].ThWaitirql ; set APC interrupt bypass disable

        call    SwapContext             ; swap context

 发现的确是两个参数

 

用WINDBG看 

80545975 8bf1            mov     esi,ecx

80545977 8bbb24010000    mov     edi,dword ptr [ebx+124h]

8054597d 89b324010000    mov     dword ptr [ebx+124h],esi

80545983 8a4f58          mov     cl,byte ptr [edi+58h]

80545986 e8f5000000      call    nt!SwapContext (80545a80)

发现KiSwapContext 是一个参数, esi是要换进的线程上下文 是通过ECX (第一个参数得到)  edi 则不是

所以结论 KiSwapContext的参数现在是一个了,也许我WRK没更新 老版本。。

 

 

 

WRK KiSwapContext 代码

cPublicFastCall KiSwapContext, 2

.fpo (0, 0, 0, 4, 1, 0)

 

;

; N.B. The following registers MUST be saved such that ebp is saved last.

;      This is done so the debugger can find the saved ebp for a thread

;      that is not currently in the running state.

;

 

        sub     esp, 4*4

        mov     [esp+12], ebx           ; save registers

        mov     [esp+8], esi            ;

        mov     [esp+4], edi            ;

        mov     [esp+0], ebp            ;

        mov     ebx, PCR[PcSelfPcr]     ; set address of PCR

        mov     edi, ecx                ; set old thread address

        mov     esi, edx                ; set next thread address

        movzx   ecx, byte ptr [edi].ThWaitirql ; set APC interrupt bypass disable

 

        call    SwapContext             ; swap context

        mov     ebp, [esp+0]            ; restore registers

        mov     edi, [esp+4]            ;

        mov     esi, [esp+8]            ;

        mov     ebx, [esp+12]           ;

        add     esp, 4*4                ;

        fstRET  KiSwapContext           ;

 

fstENDP KiSwapContext

 

 

 

 

windbg得到的 KiSwapContext 代码

lkd> uf KiSwapContext

nt!KiSwapContext:

8054595c 83ec10          sub     esp,10h

8054595f 895c240c        mov     dword ptr [esp+0Ch],ebx

80545963 89742408        mov     dword ptr [esp+8],esi

80545967 897c2404        mov     dword ptr [esp+4],edi

8054596b 892c24          mov     dword ptr [esp],ebp

8054596e 648b1d1c000000  mov     ebx,dword ptr fs:[1Ch]

80545975 8bf1            mov     esi,ecx

80545977 8bbb24010000    mov     edi,dword ptr [ebx+124h]

8054597d 89b324010000    mov     dword ptr [ebx+124h],esi

80545983 8a4f58          mov     cl,byte ptr [edi+58h]

80545986 e8f5000000      call    nt!SwapContext (80545a80)

8054598b 8b2c24          mov     ebp,dword ptr [esp]

8054598e 8b7c2404        mov     edi,dword ptr [esp+4]

80545992 8b742408        mov     esi,dword ptr [esp+8]

80545996 8b5c240c        mov     ebx,dword ptr [esp+0Ch]

8054599a 83c410          add     esp,10h

8054599d c3              ret

 

 

驱动运行后的效果是:   

 

搜集到的进程是

0x81FE7768   svchost.exe 

0x81EC6478   alg.exe 

0x81F5E990   svchost.exe 

0x81FE83E0   DrvLoader.exe 

0x81CA7020   taskmgr.exe 

0x81595D70   VMwareService.e 

0x815C6608   VMwareTray.exe 

0x815D9C08   svchost.exe 

0x8159C528   ctfmon.exe 

0x8158EB60   VisualTaskTips. 

0x815E5DA0   winlogon.exe 

0x81E96418   DrvLoader.exe 

0x815F8BD8   lsass.exe 

0x81FE5020   MSDEV.EXE 

0x81EC0B28   mdm.exe 

0x81EE0500   explorer.exe 

0x81F13020   MSDEV.EXE 

0x815523A8   DBGVIEW.EXE 

0x81F74020   csrss.exe 

0x821507C0   System 

0x82009830   VMwareUser.exe 

0x81F66DA0   services.exe 

0x81F07B88   svchost.exe 

 

 

搜集到的进程肯定是不全的 因为有的进程在休息 没有线程调度发生 也就没有搜集到= = 

 

 

cosmoslife
关注
专栏目录
HOOK SwapContext 枚举隐藏进程(学习笔记4)
01-08 3865
 作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有用的模块 自己整合实现了下 确定支持XP3, XP2没测试 应该也能支持 附完整工程代
HOOK SwapContext 枚举隐藏进程(学习笔记4)(3)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 607
190   191 void  klisterUnload(IN PDRIVER_OBJECT pDriverObject) 192 { 193   BeTerminate = 1; 194   while(B
HOOK SwapContext 枚举隐藏进程(学习笔记4)(2)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 858
下面是主要代码   01 DWORD gThreadsProcessOffset =0x220;    // ETHREAD 在 EPROCESS偏移 02 /* 03   04 +0x218 TopLev
win7x64hookSwapContext函数
01-05
64位系统下hook SwapContext函数,ring0。
VB 枚举隐藏进程
chenhui530的专栏
10-09 4604
这篇文章是我翻译了两篇VC文章结合在一起的成果~具体是翻译的文章出处我也不清楚,我也是在网络上找到的希望原作者见谅!此文章是通过获取内核数据枚举EPROCESS结构来枚举进程的.所以现在大部分隐藏进程的程序都可以有一一列出来.在有的机器上运行可能会出错.由于时间关系我只写了检查注释如果有不懂的大家请在这里留言我会一一作答.下面是VB源码:VERSION 5.00Begin VB.Form
易语言-apihook达到对指定进程隐藏窗口
06-25
在本案例中,我们讨论的是使用易语言实现API Hook,从而达到对指定进程隐藏窗口的目的。易语言是一种中文编程语言,它以简洁的词汇和语法为特点,适合初学者学习。 API Hook的基本原理是通过在目标进程的调用链中...
APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程
最新发布
09-22
标题“APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程”表明此压缩包文件内容涉及API Hook技术,特别是利用它来隐藏进程的实现方法。 API Hook的基本原理是将系统调用或库函数的原始实现替换为...
VC 键盘HOOK枚举隐藏/显示指定窗口.rar
07-10
在这个“VC 键盘HOOK枚举隐藏/显示指定窗口”的项目中,开发者创建了一个程序,该程序能够安装键盘钩子,监听键盘输入,并根据按键操作来控制特定窗口的可见性。 首先,让我们了解一下键盘钩子(Keyboard Hook)...
易语言枚举系统所有ApiHook
07-16
易语言枚举系统所有ApiHook源码,枚举系统所有ApiHook,枚举程序内所有ApiHook,枚举ApiHook,计算偏差,取模块完整路径,进程ID取模块,取进程ID,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,...
易语言枚举隐藏进程
07-16
易语言枚举隐藏进程源码,枚举隐藏进程,进程信息,EnumPro,取公司名称,GetCommandLine,数值到时间,GetUser_WTS,DOS路径转换_,处理事件_,LoadLibrary,GetProcAddress,FreeLibrary,loadDll,GetActiveWindow,GetCurrentProcessId,SendMessageA,ImageList_Destr
win32拦截SwapContext函数
06-12
拦截swapcontext函数,处理线程切换
5种方法得到所有进程名(包括隐藏进程
11-07
VB使用5种方法得到所有进程名(包括隐藏进程),2000系统下可能不能使用,判断系统版本如果是2K以下的系统就报错退出,获取Debug权限这是必须的。获取常规下的进程,打印进程、判断指定进程是否为隐藏进程……   以下5种方法在Windows NT各个版本上都有:   NT 5.1 新增的:   获取KdVersionBlock,从内核空间拷贝到用户空间,或者从用户空间拷贝到用户空间,但是不能从用户空间拷贝到内核空间,从物理地址拷贝到用户空间,不能写到内核空间,读写处理器相关控制块,读写端口,读写总线数据,枚举Kernel Module函数,判断Nt系列函数是否调用成功,创建一个ACE,允许当前用户读写PhysicalMemory
枚举 并且关闭 进程中的 线程的 源代码
09-03
枚举 并且关闭 进程中的 线程的 源代码 枚举 并且关闭 进程中的 线程的 源代码 枚举 并且关闭 进程中的 线程的 源代码 枚举 并且关闭 进程中的 线程的 源代码
基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程
墨鱼菜鸡
06-24 176
实现原理 进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。 可使用函数 PsGetCurrentP...
[C/C++]windows下实现swapcontext等函数实践
weixin_34391445的博客
07-02 615
2019独角兽企业重金招聘Python工程师标准>>> ...
ARK之进程枚举
zhuhuibeishadiao
06-05 2310
A.进程 1.CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS) / Process32First / Process32Next void main() { HANDLE hSnap = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 ); if( hSnap == INVALID_HANDLE_VALUE
setcontext getcontext makecontext swapcontext
Network/Storage/Linux Kernel
12-03 3329
Linux上下文切换以及协程 上下文切换,听起来虚无缥缈,什么是上下文,切换又是指的是什么?其实上下文就可以理解为一个进程所运行的相关的寄存器值,即包括sp/bp/pc等值,换句话说,一个上下文,就是包括了能够恢复进程运行所需要的所有必要的东西。所谓的切换, 那是多进程的操作系统必要的功能,一个CPU能够运行多个进程(看起来),那么必然要在多个进程之间不停的切换,A切换到B时,必...
(24)[进程与线程] 分析SwapContext
qq_50332504的博客
08-21 824
SwapContext有几个参数? SwapContext在哪里实现了线程切换? 哪里进行了进程切换(修改CR3)? TSS存储当前的 SS0 : ESP0。 FS:[0]在3环总能正确指向当前TEB。 异常链表的切换。 完整分析代码。
枚举隐藏进程hook SwapContext线程调度法
10-28 1005
PBYTE GoBackAddr = NULL;PBYTE ChangAddr = NULL;PBYTE CallContextAddr = NULL;DWORD CallContextOffset = 0;                                                                                                
SSDTHook技术解析:进程隐藏与保护
"进程隐藏进程保护的技术探讨,主要聚焦于SSDTHook的实现方法" 在计算机编程领域,进程隐藏进程保护是安全和逆向工程中的重要话题。本资源详细介绍了利用System Service Descriptor Table (SSDT) Hook来实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值