Windows下的进程隐藏

最新推荐文章于 2024-07-07 08:40:16 发布
最新推荐文章于 2024-07-07 08:40:16 发布
阅读量1.4k 收藏
点赞数
文章标签: windows dll null token thread api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanshao27/article/details/1612390
版权
9X环境中Windows提供了想光的API函数用于隐藏系统进程。但是到了2000以上系统,已经无法真正的做到对于进程的隐藏,除非编写底层驱动。但是我们可以通过一些变通的办法来达到隐藏进程的目的,其中一个就是远程注入。简单的说就是先编写一个API的DLL,然后将这个DLL库注入到一个系统进程中,作为它的一个线程去执行。
要实现DLL注入,首先需要打开目标进程。
hRemoteProcess = OpenProcess( PROCESS_CREATE_THREAD | //允许远程创建线程
    PROCESS_VM_OPERATION | //允许远程VM操作
    PROCESS_VM_WRITE, //允许远程VM写
    FALSE, dwRemoteProcessId )
由于我们后面需要写入远程进程的内存地址空间并建立远程线程,所以需要申请足够的权限(PROCESS_CREATE_THREAD、VM_OPERATION、VM_WRITE)。
如果进程打不开,以后的操作就别想了。进程打开后,就可以建立远线程了,不过别急,先想想这个远线程的线程函数是什么?我们的目的是注入一个DLL。而且我们知道用LoadLibrary可以加载一个DLL到本进程的地址空间。于是,自然会想到如果可以在目标进程中调用LoadLibrary,不就可以把DLL加载到目标进程的地址空间了吗?对!就是这样。远线程就在这儿用了一次,建立的远线程的线程函数就是LoadLibrary,而参数就是要注入的DLL的文件名。(这里需要自己想一想,注意到了吗,线程函数ThreadProc和LoadLibrary函数非常相似,返回值,参数个数都一样) 还有一个问题,LoadLibrary这个函数的地址在哪儿?也许你会说,这个简单,GetProcAddress就可以得出。于是代码就出来了。
char *pszLibFileRemote="my.dll";
PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA");
CreateRemoteThread( hRemoteProcess, NULL, 0, pfnStartAddr, pszLibFileRemote, 0, NULL);
    但是不对!不要忘了,这是远线程,不是在你的进程里,而pszLibFileRemote指向的是你的进程里的数据,到了目标进程,这个指针都不知道指向哪儿去了,同样pfnStartAddr这个地址上的代码到了目标进程里也不知道是什么了,不知道是不是你想要的LoadLibraryA了。但是,问题总是可以解决的,Windows有些很强大的API函数,他们可以在目标进程里分配内存,可以将你的进程中的数据拷贝到目标进程中。因此pszLibFileRemote的问题可以解决了。
char *pszLibFileName="my.dll";//注意,这个一定要是全路径文件名,除非它在系统目录里;原因大家自己想想。
//计算DLL路径名需要的内存空间
int cb = (1 + lstrlenA(pszLibFileName)) * sizeof(char);
//使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区
pszLibFileRemote = (char *) VirtualAllocEx( hRemoteProcess, NULL, cb, MEM_COMMIT, PAGE_READWRITE);
//使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间
iReturnCode = WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);
    OK,现在目标进程也认识pszLibFileRemote了,但是pfnStartAddr好像不好办,我怎么可能知道LoadLibraryA在目标进程中的地址呢?其实Windows为我们解决了这个问题,LoadLibraryA这个函数是在Kernel32.dll这个核心DLL里的,而这个DLL很特殊,不管对于哪个进程,Windows总是把它加载到相同的地址上去。因此你的进程中LoadLibraryA的地址和目标进程中LoadLibraryA的地址是相同的(其实,这个DLL里的所有函数都是如此)。至此,DLL注入结束了。
 
但是目前还有一个问题,上面的方法是无法将DLL注入到系统进程中去的,原因是进程级别不够。那么我们就要提升注入程序的进程级别。使用下面的函数:
void EnableDebugPriv( void )
{
 HANDLE hToken;
 LUID sedebugnameValue;
 TOKEN_PRIVILEGES tkp;
 if ( ! OpenProcessToken( GetCurrentProcess(),
  TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) )
  return;
 if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &sedebugnameValue ) ){
  CloseHandle( hToken );
  return;
 }
 tkp.PrivilegeCount = 1;
 tkp.Privileges[0].Luid = sedebugnameValue;
 tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
 if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) )
  CloseHandle( hToken );
}
 
 
 
最后我们来做一个简单的例子:
首先编写注入程序的代码
// DLLAdd.cpp : Defines the entry point for the application.
//
#include "stdafx.h"
#include "winnt.h"
void EnableDebugPriv();
int APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                     int       nCmdShow)
{
 EnableDebugPriv();
  // TODO: Place code here.
 HANDLE hRemoteProcess;
 HANDLE hRemoteThread;
 //PWSTR pszLibFileRemote;
 //LPCWSTR pszLibFileName;
 BOOL iReturnCode;
 char *pszLibFileRemote="RemoteDLL.dll";
 char *pszLibFileName="C://RemoteDLL.dll";//注意,这个一定要是全路径文件名,除非它在系统目录里
 hRemoteProcess = OpenProcess(PROCESS_CREATE_THREAD
        |PROCESS_VM_OPERATION
        |PROCESS_VM_WRITE,
        FALSE,0x3E0);//0x3E0是进程的id,测试时是explorer的进程id,可以用spy++去查找。
 //计算DLL路径名需要的内存空间
 int cb = (1 + lstrlenA(pszLibFileName)) * sizeof(char);
 //使用VirtualAllocEx函数在远程进程的内存地址空间分配DLL文件名缓冲区
 pszLibFileRemote = (char *) VirtualAllocEx(hRemoteProcess, NULL, cb,
            MEM_COMMIT, PAGE_READWRITE);
 //使用WriteProcessMemory函数将DLL的路径名复制到远程进程的内存空间
 iReturnCode = WriteProcessMemory(hRemoteProcess,
    pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL);
 //计算LoadLibraryW的入口地址
 PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)
          GetProcAddress(GetModuleHandle(TEXT("Kernel32")),
          "LoadLibraryA");
 //启动远程线程LoadLibraryW,通过远程线程调用用户的DLL文件
 hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0,
          pfnStartAddr, pszLibFileRemote, 0, NULL);

 return 0;
}
 
//提升权限
void EnableDebugPriv( void )
{
 HANDLE hToken;
 LUID sedebugnameValue;
 TOKEN_PRIVILEGES tkp;
 if ( ! OpenProcessToken( GetCurrentProcess(),
  TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) )
  return;
 if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &sedebugnameValue ) ){
  CloseHandle( hToken );
  return;
 }
 tkp.PrivilegeCount = 1;
 tkp.Privileges[0].Luid = sedebugnameValue;
 tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
 if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) )
  CloseHandle( hToken );
}
 
 

然后编写需要注入的DLL的代码

#include "stdafx.h"
#include "winnt.h"
#include <stdlib.h>
BOOL APIENTRY DllMain( HANDLE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
      )
{
 char szProcessId[64];
 int i=1;
 switch(ul_reason_for_call)
 {
 case DLL_PROCESS_ATTACH:
  {
   _itoa(GetCurrentProcessId(),szProcessId,10);
   MessageBox(NULL,szProcessId,"RemoteDLL",MB_OK);
  }
 default:
  return TRUE;
 }
}
 
将编译好的dll放到C盘根目录下面运行注入程序。我们可以发现弹出了一个标示了被注入进程id的对话框。
 
如上,只要我们再dll中编写我们需要的代码,就可以隐秘的在电脑里执行我们需要的事情。
 
sanshao27
关注
win7 win8 win10 64位下 进程隐藏工具 亲测可用
04-15
win7 win8 win10 64位下 进程隐藏工具 亲测可用 win7 win8 win10 64位下 进程隐藏工具 亲测可用 win7 win8 win10 64位下 进程隐藏工具 亲测可用
windows进程隐藏工具
09-08
进程隐藏工具是简单小巧的软件,可以隐藏任务栏、进程,一键隐藏你想隐藏的程序。如果你上班、上课期间偷偷看电影、玩游戏又害怕被发现,可以下载一款进程隐藏工具,一键就能隐藏你开着的进程
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
C++隐藏进程,C++语言编写驱动级隐藏
浅谈进程隐藏技术
最新发布
蚁景网安学院
07-07 935
在之前几篇文章已经学习了解了几种钩取的方法,这篇文章就利用钩取方式完成进程隐藏的效果。在实现进程隐藏时,首先需要明确遍历进程的方法。
进程隐藏进程保护(SSDT Hook 实现)(二)
weixin_34102807的博客
06-23 262
文章目录: 1. 引子 – Demo 实现效果: 2. 进程隐藏进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列表的维护: 7. 小结: 1. 引子 – Demo 实现效果: 进程隐藏效果: 应用程序主界面: 隐藏进程 taskmgr.exe: 取消进程隐藏 t...
Win XP下用远程线程注入来隐藏进程
zhaoyu_me的专栏
08-26 1014
procedure FindAProcess(const AFilename: string; const PathMatch: Boolean; var ProcessID: DWORD);var  lppe: TProcessEntry32;  SsHandle: Thandle;  FoundAProc, FoundOK: boolean;begin  ProcessID :=0;  SsH
隐藏windows进程
04-21
隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程
利用Windows进程隐藏进行权限维持
A_991128a的博客
05-13 832
作者:brodyproder。
python在windows下创建隐藏窗口子进程的方法
09-21
### Python在Windows下创建隐藏窗口子进程的方法 在进行跨平台编程时,特别是在Windows操作系统上进行开发时,我们经常会遇到需要创建子进程的情况。而有时为了不影响用户体验或满足某些特定需求,我们需要创建一个...
windows如何隐藏进程 隐藏进程4种方法
05-15
隐藏进程4种方法
隐藏进程查看器
08-30
一个Windows隐藏进程查看工具,可以方便的查看被隐藏进程
隐藏进程windows
02-05
实列,可用于入门学习,也可以做为工程代码的部分。
可以隐藏任何进程
01-17
可以可很多防杀,可以隐藏任何进程 ,驱动级加载防杀,很实用
HideToolz(隐藏进程的工具,可用于隐藏调试器进程..)
10-30
HideToolz --------------------------- HideToolz (ultimate crackers tools hider) ------------- HideToolz is intended for hiding crackers tools from different protection trying define their presence. 1) Hiding processes from all possible ring3 methods of the finding. 2) Hiding windows from enumeration and searching for on the known name. 3) Protection processes from opening on the known pid (as well as from indirect methods of the opening). 4) Parental process emulation (for all visible processes runned from hidden, will be emulated parental process explorer.exe) 5) Protection from rebooting windows (and log all rebooting attempts). 6) Protection from formatting the disk (and log all formatting attempts). Attention: access of the hidden processes unrestricted, and they can see the real system state. For impossibility of the finding HideToolz file on disk, is recommended rename file and pack its any packer. 经常用来隐藏OllyIce进程来实现反反调试
win10 win7 任务管理器中隐藏进程
12-07
c# 隐藏进程代码,win10 win7 任务管理器中隐藏进程
隐藏进程 win10测试可用
04-23
标题“隐藏进程 win10测试可用”表明这是一个专门针对Windows 10系统设计的工具或技术,用于测试隐藏进程的有效性。在Windows 10中,隐藏进程可能会涉及到修改注册表项、利用API调用或者利用系统服务来达到目的。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值