EPROCESS进程断链

最新推荐文章于 2024-07-25 11:55:38 发布
最新推荐文章于 2024-07-25 11:55:38 发布
阅读量2k 收藏 3
点赞数
分类专栏: 驱动笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SR0ad/article/details/8108604
版权
本文介绍了作者在学习Windows驱动开发时,尝试通过断链EPROCESS结构来实现进程隐藏的过程。利用Windbg工具查看相关结构,如PEB、TEB和_RTL_USER_PROCESS_PARAMETERS,驱动在加载和卸载时表现稳定,未导致蓝屏。虽然explorer.exe进程在任务管理器中不可见,但通过其他工具如ARK仍能显示并突出标记,表明操作成功。作者计划进一步研究相关结构的更多可能性。
摘要由CSDN通过智能技术生成

本身今天说写《Windows驱动开发技术详解》第六章的笔记,但是发现第六章无非是字符串、文件、注册表,其实没有必要抄书,之前写了写笔记,也能够尝试写一点小函数练练手的,就想自己写点小例子记作笔记也是OK的。今天用Windbg的dt命令查看字符串结构的时候,顺带查询了EPROCESS结构,PEB,TEB,_RTL_USER_PROCESS_PARAMETERS这些结构。

kd> dt _EPROCESS
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER
   +0x078 ExitTime         : _LARGE_INTEGER
   +0x080 RundownProtect   : _EX_RUNDOWN_REF
   +0x084 UniqueProcessId  : Ptr32 Void
   +0x088 ActiveProcessLinks : _LIST_ENTRY
   +0x090 QuotaUsage       : [3] Uint4B
   +0x09c QuotaPeak        : [3] Uint4B
   +0x0a8 CommitCharge     : Uint4B
   +0x0ac PeakVirtualSize  : Uint4B
   +0x0b0 VirtualSize      : Uint4B
   +0x0b4 SessionProcessLinks : _LIST_ENTRY
   +0x0bc DebugPort        : Ptr32 Void
   +0x0c0 ExceptionPort    : Ptr32 Void
   +0x0c4 ObjectTable      : Ptr32 _HANDLE_TABLE
   +0x0c8 Token            : _EX_FAST_REF
   +0x0cc WorkingSetLock   : _FAST_MUTEX
   +0x0ec WorkingSetPage   : Uint4B
   +0x0f0 AddressCreationLock : _FAST_MUTEX
   +0x110 HyperSpaceLock   : Uint4B
   +0x114 ForkInProgress   : Ptr32 _ETHREAD
   +0x118 HardwareTrigger  : Uint4B
   +0x11c VadRoot          : Ptr32 Void
   +0x120 VadHint          : Ptr32 Void
   +0x124 CloneRo
最低0.47元/天 解锁文章
SR0ad
关注
专栏目录
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
Think88666的博客
09-01 1391
内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
PEB断链
hongduilanjun的博客
03-18 2060
断链这种技术非常古老,同时应用于非常多的场景,在内核层如果我们需要隐藏一个进程的内核结构体,也会使用这种技术。本文基于PEB断链在用户层和内核层分别进行实现,在用户层达到的效果主要是dll模块的隐藏,在内核层达到的效果主要是进程的隐藏。 3环PEB断链 每个线程都有一个TEB结构来存储线程的一些属性结构,TEB的地址用fs:[0]来获取,在0x30这个地址有一个指针指向PEB结构 然后定位到PEB,PEB就是进程用来记录自己信息的一个结构,在PEB的0x00c偏移有一个 Ldr _PEB_LDR_DAT
进程断链
ADADQDQQ的博客
07-27 482
Win7可用 Win10会PG 大概随机几个小时左右就会蓝屏 可应付普通的通过系统API搜索的检测 #include <ntddk.h> PsGetProcessImageFileName( __in PEPROCESS Process ); NTSTATUS PsLookupProcessByProcessId( __in HANDLE ProcessId, __deref_out PEPROCESS* Process ); PEPROCESS FindProcessByName(char*
进程断链隐藏_r0_进程保护_进程断链隐藏_断链隐藏_驱动_
10-01
进程链表中摘除指定进程
模块隐藏之断链
最新发布
m0_51681331的博客
07-25 410
关于断链的笔记
Win10 EPROCESS 断链
hambaga的博客
01-29 1211
介绍 参考了 https://github.com/landhb/HideProcess/ 动态获取 ActiveProcessLinksOffset ,可兼容不同版本的win10 x64系统。 运行结果 隐藏加载器自身 隐藏成功 驱动加载 #include <windows.h> #include <winsvc.h> #include <conio.h> #include <stdio.h> #include <winioctl.h&
02 进程断链、线程断链
qq_50242229的博客
05-08 342
进程断链 驱动代码 #include <ntifs.h> #include <wdm.h> #include <ntddk.h> //操作码:0x0-0x7FF 被保留,0x800-0xFFF 可用 #define HIDE CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) //设备对象 PDEVICE_OBJECT devObj; //符号链接 UNICODE_STRING s
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 2414
我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程,并将特定进程从该双向链表中移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程的结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS 的结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
2. ETHREAD和线程断链
Mikasys的博客
11-07 1148
一、ETHREAD结构体 ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x1c0 CreateTime : _LARGE_INTEGER +0x1c0 NestedFaultCount : Pos 0, 2 Bits +0x1c0 ApcNeeded : Pos 2, 1 Bit +0x1c8 ExitTime : _LARGE_INTEGER +0x1c8 LpcRepl
断链隐藏进程
m0_75243362的博客
04-21 766
新手windbg使用,入门内核
进程隐藏之断链隐藏例子-易语言
06-12
通过断链方式来隐藏进程,驱动不成功的可以考虑试试这个。不过,win7 64下隐藏失败
进程启动&断链
m0_62466350的博客
01-29 1323
函数介绍:运行一个指定的程序。 函数原型如下: 函数成功:return Value>31 函数失败:返回以下值使用 WinExec 函数执行删除 C 盘下的所有文件和文件夹的命令的示例代码如下: 2. ShellExecute 函数介绍:运行一个外部程序(或者是打开一个已经注册的文件、目录,或打印一个文件等),并进行一定程度的控制 函数原型如下: 第二个参数lpOperation的可选项如下: edit:启动编辑器并打开文档进行编辑。如果lpfile不是文档文件,则该函数将失败。 explore:打开由lp
遍历EPROCESS链表
如鹿渴慕泉水的专栏
12-21 636
dt nt!_EPROCESS poi(nt!PsInitialSystemProcess) xploit.self_token = xploit.self_token & (~0xF); 1: kd> dx -id 0,0,ffffb9038ed2d0c0 -r1 (*((ntkrnlmp!_EX_FAST_REF *)0xffffb9038505a4f8)) (*((ntkrnlmp!_EX_FAST_REF *)0xffffb9038505a4f8)) [
根据教程写出的断链
qq_41071646的博客
01-08 238
这个断链很不稳定  说实话 很不喜欢这种 偏移 硬编码 直接撸的  但是  现在 自己的水平还是有点低  没办法 只能这样写 了   看看后来能不能改变一下 在x86 断链就能解决 只要是 断链比较简单 这个东西     服务 保存在一个链表中 我们把链表断开就ok了 #include &lt;ntddk.h&gt; typedef unsigned long DWORD; typedef...
[转](54)线程结构体 ETHREAD,线程断链
weixin_41875267的博客
11-20 726
一、回顾 上次课我们学习了进程,我们知道了进程是空间概念,最主要的功能是提供CR3,而线程才是CPU调度的最小单位; 更早的时候做SSDT HOOK FindWindow 时我们还了解到了,当3环程序向驱动发起通信时,驱动所属进程就是3环的程序; 学习了EPROCESS里的部分成员,其中 ActiveProcessLinks 是进程链表,我们可以通过对其断链实现进程隐藏,DebugPort 是调试端口,抹除它的值可以使三环调试器调试崩溃。 本次课我们来学习线程结构体 E...
3种方式获取ActiveProcessLinks以实先断链隐藏进程
weixin_73368512的博客
12-10 346
【代码】3种方式获取ActiveProcessLinks以实先断链隐藏进程
WIN7 进程隐藏 EPROCESS结构小结
rosykee的专栏
02-06 3304
win7下用windbg工具查看结构信息: ....... 在这个结构中有我们关心的两个数据,一个是偏移0x88处的ActiveProcessLinks,另一个是偏移0xc4处的ObjectTable。  ActiveProcessLinks是活动进程链表,它的作用就是把一个个的EPROCESS结构链接在一起。它是一个_LIST_ENTRY的结构类型: Flink是指向
内核断链(ActiveProcessLinks)
qq_45844442的博客
06-23 267
3.在这个程序中没有直接使用EPROCESS+0xE8是为了兼容所有系统,而且通过搜寻特征的方法可以躲避各种检测。2.将其转换为大写匹配是否是目标程序,如果是则通过寻找目标EPROCESS结构体的。1.首先通过遍历所有的PID,使用。函数得到目标进程的全路径名称。
eprocess存在进程内存中吗
07-14
在Windows操作系统中,EPROCESS进程控制块)是操作系统内核中的数据结构,用于描述和管理一个进程的信息。EPROCESS结构并不直接存在于进程的虚拟内存空间中,而是在内核地址空间中。 每个进程都有一个唯一的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值