Windows内核学习之Demo1隐藏进程

最新推荐文章于 2024-09-26 13:55:29 发布
最新推荐文章于 2024-09-26 13:55:29 发布
阅读量255 收藏
点赞数 3
文章标签: windows 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K17010/article/details/141338306
版权

内核层如下:

读写进程内存不太想写,以后再补吧

#include <ntifs.h>

#define DEVICE_NAME L"\\Device\\MyDevice"
#define SYMLINK_NAME L"\\DosDevices\\MyDevice"
#define IOCTL_PROCESS_MEMORY CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED, FILE_ANY_ACCESS)

typedef struct MY_PROCESS_INFO {
    ULONG Mode;      // 模式:0 表示读,1 表示写
    ULONG ProcessId; // 进程 PID
    PVOID Address;   // 目标地址
    UCHAR Data[256]; // 数据内容(如果是写模式,将要写入的数据;如果是读模式,这里可以为空)
} MY_PROCESS_INFO, *P_MY_PROCESS_INFO;
NTSTATUS MmCopyVirtualMemory(
    PEPROCESS SourceProcess,
    PVOID SourceAddress,
    PEPROCESS TargetProcess,
    PVOID TargetAddress,
    SIZE_T BufferSize,
    KPROCESSOR_MODE PreviousMode,
    PSIZE_T ReturnSize
);


NTSTATUS MyWriteProcessMemory(P_MY_PROCESS_INFO tempProcessInfo);
NTSTATUS MyReadProcessMemory(P_MY_PROCESS_INFO tempProcessInfo);
NTSTATUS MyHiddenProcess(P_MY_PROCESS_INFO tempProcessInfo);




NTSTATUS MyDriverDispatchIoctl(PDEVICE_OBJECT DeviceObject, PIRP Irp) {
    DbgPrint("Receive Irp Request!");
    PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(Irp);
    ULONG controlCode = stack->Parameters.DeviceIoControl.IoControlCode;
    NTSTATUS status = STATUS_SUCCESS;

    if (controlCode == IOCTL_PROCESS_MEMORY) {
        P_MY_PROCESS_INFO tempProcessInfo = (P_MY_PROCESS_INFO)Irp->AssociatedIrp.SystemBuffer;
        PEPROCESS targetProcess;
        SIZE_T bytes;

        // 根据 PID 打开目标进程
        status = PsLookupProcessByProcessId((HANDLE)tempProcessInfo->ProcessId, &targetProcess);
        if (!NT_SUCCESS(status)) {
            DbgPrint("Failed to find process with PID %d\n", tempProcessInfo->ProcessId);
            Irp->IoStatus.Information = 0;
            Irp->IoStatus.Status = status;
            IoCompleteRequest(Irp, IO_NO_INCREMENT);
            return status;
        }

        if (tempProcessInfo->Mode == 0) { // 读模式
            // 读内存
            MyReadProcessMemory(tempProcessInfo);
        }
        else if (tempProcessInfo->Mode == 1) { // 写模式
            // 写内存
            MyWriteProcessMemory(tempProcessInfo);
        }else if(tempProcessInfo->Mode==3){
            //隐藏进程
            status=MyHiddenProcess(tempProcessInfo);
        }
        else {
            status = STATUS_INVALID_PARAMETER;
            DbgPrint("Invalid mode specified: %d\n", tempProcessInfo->Mode);
        }

        ObDereferenceObject(targetProcess); // 释放进程引用

        Irp->IoStatus.Information = sizeof(MY_PROCESS_INFO);
    }
    else {
        status = STATUS_INVALID_DEVICE_REQUEST;
        Irp->IoStatus.Information = 0;
    }

    Irp->IoStatus.Status = status;
    IoCompleteRequest(Irp, IO_NO_INCREMENT);
    return status;
}

NTSTATUS MyDriverCreateClose(PDEVICE_OBJECT DeviceObject, PIRP Irp) {
    Irp->IoStatus.Status = STATUS_SUCCESS;
    Irp->IoStatus.Information = 0;
    IoCompleteRequest(Irp, IO_NO_INCREMENT);
    return STATUS_SUCCESS;
}

void MyDriverUnload(PDRIVER_OBJECT DriverObject) {
    UNICODE_STRING symlink = RTL_CONSTANT_STRING(SYMLINK_NAME);
    IoDeleteSymbolicLink(&symlink);
    IoDeleteDevice(DriverObject->DeviceObject);
}



NTSTATUS MyWriteProcessMemory(P_MY_PROCESS_INFO tempProcessInfo) {

}
NTSTATUS MyReadProcessMemory(P_MY_PROCESS_INFO tempProcessInfo) {

}


NTSTATUS MyHiddenProcess(P_MY_PROCESS_INFO tempProcessInfo) {
    PEPROCESS pProcess;
    NTSTATUS status = PsLookupProcessByProcessId((HANDLE)tempProcessInfo->ProcessId, &pProcess);  // 使用 &pProcess
    if (!NT_SUCCESS(status)) {
        DbgPrint("Failed to find process with PID %lu, status: 0x%X\n", tempProcessInfo->ProcessId, status);
        return status;
    }

    // 获取目标进程的 ActiveProcessLinks 链表指针
    PLIST_ENTRY activeProcessLinks = (PLIST_ENTRY)((ULONG_PTR)pProcess +0x2f0);  // 假设偏移量为0x2e8(仅为示例)

    // 操作链表
    PLIST_ENTRY prevEntry = activeProcessLinks->Blink;
    PLIST_ENTRY nextEntry = activeProcessLinks->Flink;

    // 从链表中移除该结点
    prevEntry->Flink = nextEntry;
    nextEntry->Blink = prevEntry;

    // 清除目标进程的链表指针,防止悬挂指针
    activeProcessLinks->Flink = activeProcessLinks;
    activeProcessLinks->Blink = activeProcessLinks;

    // 释放 EPROCESS 对象的引用
    ObDereferenceObject(pProcess);

    return STATUS_SUCCESS;
}


NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) {
    UNICODE_STRING deviceName = RTL_CONSTANT_STRING(DEVICE_NAME);
    UNICODE_STRING symlink = RTL_CONSTANT_STRING(SYMLINK_NAME);
    PDEVICE_OBJECT deviceObject = NULL;
    NTSTATUS status;

    status = IoCreateDevice(DriverObject, 0, &deviceName, FILE_DEVICE_UNKNOWN, 0, FALSE, &deviceObject);
    if (!NT_SUCCESS(status)) {
        return status;
    }

    status = IoCreateSymbolicLink(&symlink, &deviceName);
    if (!NT_SUCCESS(status)) {
        IoDeleteDevice(deviceObject);
        return status;
    }

    DriverObject->MajorFunction[IRP_MJ_CREATE] = MyDriverCreateClose;
    DriverObject->MajorFunction[IRP_MJ_CLOSE] = MyDriverCreateClose;
    DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = MyDriverDispatchIoctl;
    DriverObject->DriverUnload = MyDriverUnload;

    return STATUS_SUCCESS;
}

应用层:

#include <windows.h>
#include <iostream>

// 这里定义和驱动程序一致的 IOCTL 代码
#define IOCTL_PROCESS_MEMORY CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED, FILE_ANY_ACCESS)

// 定义与驱动程序中一致的结构体
typedef struct MY_PROCESS_INFO {
    ULONG Mode;      // 模式:0 表示读,1 表示写, 3 表示隐藏进程
    ULONG ProcessId; // 进程 PID
    PVOID Address;   // 目标地址
    UCHAR Data[256]; // 数据内容(如果是写模式,将要写入的数据;如果是读模式,这里可以为空)
} MY_PROCESS_INFO, * P_MY_PROCESS_INFO;

int main() {
    // 打开符号链接名,连接到驱动程序
    HANDLE hDevice = CreateFile(
        L"\\\\.\\MyDevice",             // 设备名称 (与驱动程序中的符号链接名一致)
        GENERIC_READ | GENERIC_WRITE,  // 打开权限
        0,                             // 共享模式
        NULL,                          // 安全属性
        OPEN_EXISTING,                 // 打开已存在的设备
        FILE_ATTRIBUTE_NORMAL,         // 文件属性
        NULL                           // 模板文件
    );

    if (hDevice == INVALID_HANDLE_VALUE) {
        std::cerr << "Failed to open device: " << GetLastError() << std::endl;
        return 1;
    }

    // 设置 MY_PROCESS_INFO 结构体
    MY_PROCESS_INFO processInfo;
    processInfo.Mode = 3;  // 模式设置为 3 表示隐藏进程
    processInfo.ProcessId = 2344;  // 要隐藏的进程 ID
    ZeroMemory(processInfo.Data, sizeof(processInfo.Data)); // 清空数据

    DWORD bytesReturned;
    BOOL success = DeviceIoControl(
        hDevice,                       // 设备句柄
        IOCTL_PROCESS_MEMORY,          // IOCTL 代码
        &processInfo,                  // 输入缓冲区
        sizeof(MY_PROCESS_INFO),       // 输入缓冲区大小
        NULL,                          // 输出缓冲区
        0,                             // 输出缓冲区大小
        &bytesReturned,                // 返回的字节数
        NULL                           // 重叠结构
    );

    if (!success) {
        std::cerr << "DeviceIoControl failed: " << GetLastError() << std::endl;
        CloseHandle(hDevice);
        return 1;
    }

    std::cout << "Process successfully hidden!" << std::endl;

    // 关闭设备句柄
    CloseHandle(hDevice);
    return 0;
}

记一次踩坑点:

VisualStudio打包有debug和release两种模式,第一种模式,需要安装visual studio,在没有环境的系统上可能会报错。

效果:任务管理器里看不到计算器了

另:被一些事情搞得心情特别糟糕,目前做大模型研发,看文档看的一脸懵逼,却还想学习Windows内核,想学的太多,会的太少,另外想做的事情也特别多,到这个年纪可能就是这样吧。

天下的父母都是这样,当自己的孩子有点成就的时候,就特别愿意在别人面前讲。这个年纪,必须完成一些事情了,父母等不了你了。

陈晨0
关注
进程隐藏学习总结
bcbobo21cn的专栏
05-08 4624
怎么隐藏进程 工具/原料 HideToolz 步骤/方法 1 在百度上面搜索HideToolz ,打开第一个搜索结果,点击进入下载。把HideToolz 下载到你的电脑里面。 2 鼠标双击打开该压缩包,再直接双击该软件即可打开该软件了。并且在软件里面可以看见目前的进程数为多少个。 3 按Ctrl + Alt + . 【启动任务管理器】,在 HideTool
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
在IT领域,尤其是在系统安全和恶意软件分析中,"ring0驱动层上实现隐藏进程"是一种高级技术,它涉及到操作系统内核级别的编程。Ring0是CPU执行级别中的最高权限级别,通常只允许操作系统核心和设备驱动程序访问。...
Windows下C++实现进程间同步
顺其自然~专栏
03-25 1196
多线程同步在平常的使用中很常见,可以通过临界区,互斥量,事件等来实现,具体的选择依赖于不同的使用场景。但是进程同步使用的比较少,网上查找资料,也多是以多线程使用来讲解的,并不详细。刚好自己正在做一个升级程序,主程序是一个进程,升级程序是一个进程,我把所有的与升级服务端的交互全部放在了升级程序中,所以当升级程序从服务端获取版本号与本地进行比较时,主程序需要进入等待阶段。当版本号比较完后,再触发升级程序或主程序的下一步操作。此文仅以记录我在完成这个升级过程中踩过的坑。 一,方法介绍 大家都知道,内核对象资源
【Android学习】Android 启动过程中的1号进程init
m0_37659309的博客
07-04 1290
Android系统启动, init进程
利用Volatility进行Windows内存取证分析(二):内核对象、内核学习小记
Fly_鹏程万里
05-16 4608
简介windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的。而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深...
进程隐藏进程保护(SSDT Hook 实现)(二)
wangchaoqi1985的博客
08-02 280
文章目录: 1. 引子 – Demo 实现效果: 2. 进程隐藏进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏
Linux学习日记1——Ubuntu
HuanBianCheng27的博客
03-08 2354
学习视频连接 Python基础之Linux基础入门(Ubuntu)_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV17x411972F 一、Linux基本知识 1.1 Linux内核版和发行版本 1、内核版本 不同硬件,例如AMD CPU和Intel CPU 执行同一个命令可能使用不同的函数,Linux内核可以兼容各种硬件,让不同硬件上执行同一个命令的不同函数统一成一个函数(系统函数)。 2、发行版本 通过调用Linux内核提供的系统函数,
windows@handle句柄@文件或目录被占用问题@查找占用者程序进程
xuchaoxin1375的博客
04-15 1430
介绍windows句柄关于文件占用问题解决方案。
进程隐藏进程保护(SSDT Hook 实现)(三)
mxwtws的专栏
09-28 354
转载自  Zachary.XiaoZhen - 梦想的天空 链接:
进程隐藏进程保护(SSDT Hook 实现)(一)
mxwtws的专栏
09-28 532
转载自  Zachary.XiaoZhen - 梦想的天空 lian
MagicWall-master ( 火绒注入demo ).zip_DEMO_magic wall_内核注入_火绒注入_驱动注入
07-14
1. **理解系统架构**:熟悉Windows操作系统的内核结构和进程模型。 2. **编程语言**:通常使用C或C++编写驱动程序,因为它们能更好地与内核交互。 3. **API和函数**:熟练使用系统API,如NtCreateProcess、...
流 Stream
2401_84881237的博客
09-24 506
Stream 是延迟执行的,只有调用到结束操作,才触发整个流水线的执行。流处理是对运动中的数据的处理,在生成或接收数据时直接计算数据。流处理可以立即对事件做出反应,且可以处理比其他数据处理系统大得多的数据量:直接处理事件流,并且只保留数据中有意义的子集。流处理的每个操作阶段都会封装到一个 Sink 接口里,处理数据后再将数据传递给下游的 Sink。JDK 1.8 新增。将要处理的元素集合看作一种流,在管道的节点上进行处理。迭代流中的每个数据,即对每个数据进行最后的处理(比如保存到数据库中或打印)。
深入剖析list
最新发布
2404_87273268的博客
09-26 1250
深入剖析list,并阐述了list和vector容器的区别
excel导出图片---HSSFWorkbook--SXSSFWorkbook
ChickenBro_的博客
09-25 926
平时在工作中,excel导出图片经常会用到,但奈何HSSFWorkbook导出数据数量有限制问题,所以企业里大多都用SXSSFWorkbook格式,很少用HSSFWorkbook。所以今天以这两种格式分别记录下,图片的导出过程。
第三十二章 使用派生密钥令牌进行加密和签名 - 使用 DerivedKeyToken 进行加密
yaoxin521123的博客
09-25 346
类方法,并指定加密数据实例作为参数。b. 要加密的项目。省略此参数可加密正文。在此场景中,当前唯一支持的值是。方法并指定数据引用实例作为参数。请注意,此步骤还会创建并添加。b. 调用引用列表实例的。
Java 编码系列:集合框架(List、Set、Map 及其常用实现类)
pjx987的博客
09-22 836
本文深入探讨了 Java 集合框架的ListSet和Map接口及其常用实现类的底层原理,并结合大厂的最佳实践,帮助读者掌握这些核心概念。正确理解和使用这些集合类不仅可以提高代码的可读性和性能,还能避免一些常见的错误。希望本文对你有所帮助,如果你有任何问题或建议,欢迎留言交流。希望这篇文章能够满足你的需求,如果有任何进一步的问题或需要更多内容,请随时告诉我!
(一)Lambda-Stream流
weixin_45876411的博客
09-22 891
Java8的Stream使用的是函数式编程模式,它可以被用来对集合或数组进行链状流式的操作,可以更方便地让我们对集合或数组操作。创建流 -> 中间操作 -> 终结操作;必须要有终结操作否则中间操作不生效;
windows内核学习进程保护器
11-30
进程保护器是Windows内核中的一个重要组件,它负责保护系统进程免受恶意软件和恶意攻击的影响。进程保护器通过监视系统内部的进程活动和行为,及时发现和阻止异常活动,以确保系统的稳定和安全运行。 在学习Windows内核过程保护器时,首先需要了解其工作原理和实现机制。进程保护器通过监控系统的进程列表、进程的各种状态和行为来实现对系统进程的保护。它会及时发现并且拦截恶意软件对系统进程的恶意篡改或干扰,以保障系统的安全和稳定。 在学习过程中,需要重点了解进程保护器的设计理念和实现细节,包括其如何与其他内核组件协同工作,如何利用系统资源进行高效的进程监控和保护,以及如何应对各种可能的安全威胁和攻击手段。 另外,学习过程中还需要关注Windows内核的相关知识和技术,包括进程管理、内存管理、驱动程序开发等内容,这些都是理解和应用进程保护器的重要基础。 总之,学习Windows内核中的进程保护器需要系统掌握其工作原理和实现机制,同时还需要对Windows内核相关的知识和技术有较为深入的了解,只有这样才能很好地应用和完善进程保护器,提高系统的安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值