WIN7 进程隐藏 EPROCESS结构小结

最新推荐文章于 2024-04-21 00:22:55 发布
最新推荐文章于 2024-04-21 00:22:55 发布
阅读量3.3k 收藏 10
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosykee/article/details/43561085
版权

win7下用windbg工具查看结构信息:

.......

在这个结构中有我们关心的两个数据,一个是偏移0x88处的ActiveProcessLinks,另一个是偏移0xc4处的ObjectTable。 

ActiveProcessLinks是活动进程链表,它的作用就是把一个个的EPROCESS结构链接在一起。它是一个_LIST_ENTRY的结构类型:


Flink是指向当前节点之后的指针,Blink是指向当前节点之前的指针,_LIST_ENTRY是一个双向链表。活动进程可以通过这个链表来遍历。

与ActiveProcessLinks不同的是,ObjectTable并不是一个双向链表,它指向的是进程的句柄表。而系统内所有这些句柄表结构都是通过_LIST_ENTRY类型的双向链表链接起来的,类似于ActiveProcessLinks将进程链接起来的方式。ObjectTable是一个_HANDLE_TABLE结构,具体如下:


偏移0x10处就是一个类型为_LIST_ENTRY的HandleTableList,即句柄表链。活动进程也可以通过这个链表遍历.

需要注意注意的是,ObjectTable结构体内偏移0x008处的UniqueProcessId就是当前EPROCESS对应进程的ID号。同时,ObjectTable结构体内偏移0x004处有一个指针QuotaProcess,指向了当前进程的EPROCESS结构(Sytem进程比较特殊,对应的指针为空)。因而,我们不仅能够得到进程的ID号,而且可以获得进程的其他信息.编码很简单就能实现了。

小结 
Windows系统中的EPROCESS结构是一个非常重要的结构,与系统进程、线程管理密切相关。同时,在EPROCESS结构中还存在着其他重要的进程特征,通过分析该结构可以找到其他进程检测的方法 


rosykee
关注
Windows各版本EPROCESS结构
漂泊心情
01-15 2029
Windows XP: +0x000 Pcb : _KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY [ 0xffbcc030 - 0xffbcc030 ] +0x018 DirectoryTableBase : [2] 0x2807000 +0x020 LdtDescript
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 856
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
[Rootkit] - 修改 EPROCESS 隐藏进程
LYSM
08-20 939
背景 EPROCESS 中有两个成员 UniqueProcessId // 唯一的pid InheritedFromUniqueProcessId // 唯一父进程pid 效果图
win7进程隐藏工具
12-24
win7进程隐藏工具 win7进程隐藏工具
利用global API hooks在Win7系统下隐藏进程
weixin_34226706的博客
09-19 455
本文讲的是利用global API hooks在Win7系统下隐藏进程, 0x00 前言 在之前的文章《Powershell tricks::Hide Process by kd.exe》介绍过通过kd.exe隐藏进程的技巧,最大的缺点是需要开启Local kernel debugging模式,等待重启才能生效 这次介绍另外一个隐藏进程的方法——利用...
Win7x64下隐藏进程和保护进程
11-10
Win7x64下隐藏进程和保护进程的代码,我还上传了相关文档,欢迎下载
Win2008 R2 EPROCESS结构
trents的专栏
10-20 1198
lkd> dt _eprocess nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x160 ProcessLock      : _EX_PUSH_LOCK    +0x168 CreateTime       : _LARGE_INTEGER    +0x170 ExitTime         : _LARGE_IN
EPROCESS.rar_EPROCE_EPROCESS_EPROCESS win7_EPROCESS winxp_win 7
09-14
EPROCESS是Windows操作系统内核中的一个关键数据结构,它代表了一个正在执行的进程。这个结构在Windows XP、2003 SP1、Vista以及Windows 7等不同版本的系统中都有所应用,并且随着操作系统的演进,其内部细节可能会...
Windows内核驱动EPROCESS遍历进程模块
12-14
EPROCESS结构体是Windows内核中的核心数据结构之一,它包含了关于进程的各种信息,如进程ID、安全上下文、虚拟地址空间等。遍历EPROCESS结构体可以帮助我们获取到进程的一些关键信息,包括其加载的模块列表。这些...
软件调试笔记9 - Windows概要:进程结构:EPROCESS
imJaron的博客
11-23 656
下面,通过记事本程序来详细查看进程的每一项内容。 首先打开WINDBG并进入本地内核调试,然后打开记事本程序。用命令!process 0 0列出所有进程。 第一个参数0表示所有进程,第二个0表示基本的进程属性。 找到notepad.exe程序的内容。 EPROCESS结构Process后面的地址指向的就是EPROCESS结构,很多时候WINDOW
win7 win8 win10 64位下 进程隐藏工具 亲测可用
04-15
win7 win8 win10 64位下 进程隐藏工具 亲测可用 win7 win8 win10 64位下 进程隐藏工具 亲测可用 win7 win8 win10 64位下 进程隐藏工具 亲测可用
Delphi下真正隐藏进程的代码
04-03
Delphi下真正隐藏进程的代码,由VC的代码转成D的,不是采用hook的方法实现的,真正从物理内存中去隐藏,绝大部分进程查看器找不着,效果不错
DELPHI隐藏进程源代码
02-13
隐藏自己的进程,在资源管理器隐藏,可以支持WIN10
易语言枚举隐藏进程
07-16
易语言枚举隐藏进程源码,枚举隐藏进程,枚举进程,提升进程权限,隐藏进程,取进程EProcess,十六文本至长整数,读物理内存,写物理内存,CreateToolhelp32Snapshot,Process32First,Process32Next,CloseHandle,OpenProcess,...
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 2409
我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程,并将特定进程从该双向链表中移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程
LYSM
06-24 784
实现原理 进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。 可使用函数 PsGetCurrentProcess 获取当前进程结构 EPROCESS; PsGetProcessId 从 EPROCESS 结构中获取进程的 PID 信息;使用 PsGetProcessImageFileName 函数,从 ERPROCESS 结构中获取进程的名称信息。 其中,EPROCESS 结构中的成员 Ac
断链隐藏进程
最新发布
m0_75243362的博客
04-21 760
新手windbg使用,入门内核
驱动隐藏进程(eprocess断链)
qq_43147121的博客
10-01 916
具体的原理就不详细描述了,这种办法是最为基础的隐藏手段而且网上有很多文章,只不过我看了一些大部分都只是直接在driverEntry中写死的那种,所以我简单写了个三环0环交互的驱动代码供大家参考。进程在内核中存在一个双向链表将所有的活动进程串联起来,今天写的就是将我们的目标进程从这个链表中移除以达到隐藏进程的目的。
驱动开发:摘链DKOM进程隐藏
热门推荐
CSDN
08-31 1万+
DKOM 即直接内核对象操作,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程隐藏我们只需要将某个进程中的信息,在系统EPROCESS链表中摘除即可实现进程隐藏。得到句柄以后直接摘除进程结构即可实现隐藏,该代码只找了Win10系统下的偏移地址,故只能在Win10下使用。结构体中包含了系统中的所有进程相关信息,通过WinDBG在内核调试模式下输入。在实现进程隐藏之前,需要通过代码的方式获取到当前系统中所有进程
暴力搜索内存:EPROCESS结构验证与实现详解
本文主要讨论的是如何通过直接内存搜索枚举来定位和验证进程的EPROCESS进程控制块)结构,特别是在Windows系统中,特别是5.x内核版本。 在Windows系统中,特别是32位标准内存模式(如WinXP)和PAE(Physical ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值