基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程

最新推荐文章于 2023-06-23 17:07:34 发布
最新推荐文章于 2023-06-23 17:07:34 发布
阅读量741 收藏 4
点赞数 2
分类专栏: Windows 驱动开发
原文链接:https://www.write-bug.com/article/2184.html
版权

实现原理

进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。

可使用函数 PsGetCurrentProcess 获取当前进程结构 EPROCESS; PsGetProcessId 从 EPROCESS 结构中获取进程的 PID 信息;使用 PsGetProcessImageFileName 函数,从 ERPROCESS 结构中获取进程的名称信息。

其中,EPROCESS 结构中的成员 ActiveProcessLinks 的数据类型是 LIST_ENTRY。它是一个进程活动双向链表,ActiveProcessLinks 的 Flink 成员指向下一个进程结构 EPROCESS 的 ActiveProcessLinks 成员的地址;ActiveProcessLinks 的 Blink 成员指向上一个进程结构 EPROCESS 的 ActiveProcessLinks 成员的地址。

下面是使用 WinDbg 获取 Win10 64 位系统下的 EPROCESS 结构定义代码:

    lkd> dt _EPROCESS
    ntdll!_EPROCESS
       +0x000 Pcb              : _KPROCESS
       +0x2d8 ProcessLock      : _EX_PUSH_LOCK
       +0x2e0 RundownProtect   : _EX_RUNDOWN_REF
       +0x2e8 UniqueProcessId  : Ptr64 Void
       +0x2f0 ActiveProcessLinks : _LIST_ENTRY
       +0x300 Flags2           : Uint4B
       … …(省略)

当我们获取 ActiveProcessLinks 的地址的时候,我们可以根据 ActiveProcessLinks 在 EPROCESS 结构的偏移,计算出 EPROCESS 结构的地址。这样,我们就可以一直遍历下去,获取所有进程的信息。

事实上内核函数 ZwQuerySystemInformation 对进程查询也是找到活动进程链表头,然后遍历活动进程链。最后把每一个EPROCESS中包含的基本信息返回(包括进程ID名字等)。这就给进程隐藏的实现,提供了理论支持。

对于进程的隐藏,就是通过从 EPROCESS 结构中获取进程信息,判断该进程是否是要隐藏的进程,若是,则调用 RemoveEntryList 内核函数摘链,实现隐藏。所谓的摘链就是上一个 EPROCESS 结构成员 ActiveProcessLinks 的Flink 成员指向当前 EPROCESS 结构的下一个进程结构 EPROCESS 的 ActiveProcessLinks 成员的地址;当前 EPROCESS 结构的下一个进程结构 EPROCESS 成员 ActiveProcessLinks 的 Blink 指向当前 EPROCESS 结构的上一个 EPROCESS 结构的 ActiveProcessLinks 成员的地址。这样,当前的 EPROCESS 结构成员 ActiveProcessLinks 就没有链表指向,也就不能通过活动进程链遍历出来,于是便实现了指定进程的隐藏,而且这种隐藏方式并不影响被隐藏的进程正常运行。

其中,我们需要确定的就是,不同系统上,ActiveProcessLinks 在 EPROCESS 结构中的偏移位置。我们使用 WinDbg 在不同的系统中进行内核调试,查看 EPROCESS 的定义,总结出在不同系统上,ActiveProcessLinks 在 EPROCESS 结构中的偏移:
在这里插入图片描述

编码实现

枚举进程:

    // 遍历进程
    BOOLEAN EnumProcess()
    {
        PEPROCESS pFirstEProcess = NULL, pEProcess = NULL;
        ULONG ulOffset = 0;
        HANDLE hProcessId = NULL;
        PUCHAR pszProcessName = NULL;
        // 根据不同系统, 获取相应偏移大小
        ulOffset = GetActiveProcessLinksOffset();
        if (0 == ulOffset)
        {
            DbgPrint("GetActiveProcessLinksOffset Error!\n");
            return FALSE;
        }
        // 获取当前进程结构对象
        pFirstEProcess = PsGetCurrentProcess();
        pEProcess = pFirstEProcess;
        // 开始遍历枚举进程
        do
        {
            // 从 EPROCESS 获取进程 PID
            hProcessId = PsGetProcessId(pEProcess);
            // 从 EPROCESS 获取进程名称
            pszProcessName = PsGetProcessImageFileName(pEProcess);
            // 显示
            DbgPrint("[%d]%s\n", hProcessId, pszProcessName);
            // 根据偏移计算下一个进程的 EPROCESS
            pEProcess = (PEPROCESS)((PUCHAR)(((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset))->Flink) - ulOffset);
        } while (pFirstEProcess != pEProcess);
        return TRUE;
    }

隐藏指定进程:

    // 隐藏指定进程
    BOOLEAN HideProcess(PUCHAR pszHideProcessName)
    {
        PEPROCESS pFirstEProcess = NULL, pEProcess = NULL;
        ULONG ulOffset = 0;
        HANDLE hProcessId = NULL;
        PUCHAR pszProcessName = NULL;
        // 根据不同系统, 获取相应偏移大小
        ulOffset = GetActiveProcessLinksOffset();
        if (0 == ulOffset)
        {
            DbgPrint("GetActiveProcessLinksOffset Error!\n");
            return FALSE;
        }
        // 获取当前进程结构对象
        pFirstEProcess = PsGetCurrentProcess();
        pEProcess = pFirstEProcess;
        // 开始遍历枚举进程
        do
        {
            // 从 EPROCESS 获取进程 PID
            hProcessId = PsGetProcessId(pEProcess);
            // 从 EPROCESS 获取进程名称
            pszProcessName = PsGetProcessImageFileName(pEProcess);
            // 隐藏指定进程
            if (0 == _stricmp(pszProcessName, pszHideProcessName))
            {
                // 摘链
                RemoveEntryList((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset));
                // 显示
                DbgPrint("[Hide Process][%d][%s]\n", hProcessId, pszProcessName);
                break;
            }
            // 根据偏移计算下一个进程的 EPROCESS
            pEProcess = (PEPROCESS)((PUCHAR)(((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset))->Flink) - ulOffset);
        } while (pFirstEProcess != pEProcess);
        return TRUE;
    }

根据系统版本获取偏移大小:

    // 根据不同系统, 获取相应偏移大小
    ULONG GetActiveProcessLinksOffset()
    {
        ULONG ulOffset = 0;
        RTL_OSVERSIONINFOW osInfo = {0};
        NTSTATUS status = STATUS_SUCCESS;
        // 获取系统版本信息
        status = RtlGetVersion(&osInfo);
        if (!NT_SUCCESS(status))
        {
            DbgPrint("RtlGetVersion Error[0x%X]\n", status);
            return ulOffset;
        }
        // 判断系统版本
        switch (osInfo.dwMajorVersion)
        {
        case 6:
        {
            switch (osInfo.dwMinorVersion)
            {
            case 1:
            {
                // Win7
    #ifdef _WIN64
                // 64 Bits
                ulOffset = 0x188;
    #else
                // 32 Bits
                ulOffset = 0x0B8;
    #endif
                break;
            }
            case 2:
            {
                // Win8
    #ifdef _WIN64
                // 64 Bits
    #else
                // 32 Bits
    #endif
                break;
            }
            case 3:
            {
                // Win8.1
    #ifdef _WIN64
                // 64 Bits
                ulOffset = 0x2E8;
    #else
                // 32 Bits
                ulOffset = 0x0B8;
    #endif
                break;
            }
            default:
                break;
            }
            break;
        }
        case 10:
        {
            // Win10
    #ifdef _WIN64
            // 64 Bits
            ulOffset = 0x2F0;
    #else
            // 32 Bits
            ulOffset = 0x0B8;
    #endif
            break;
        }
        default:
            break;
        }
        return ulOffset;
    }
(-: LYSM :-)
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3种方式获取ActiveProcessLinks以实先断链隐藏进程
weixin_73368512的博客
12-10 329
【代码】3种方式获取ActiveProcessLinks以实先断链隐藏进程
易语言伪装PID
07-16
易语言伪装PID源码,伪装PID,取进程EProcess,十六文本至长整数_,进程权限提升Debug,内存_写物理内存,内存_读物理内存,取自进程ID,取指针_字节集,RtlMoveMemory3,RtlMoveMemory2,OpenProcess,CloseHandle,NtSystemDebugControl,ZwQuerySystemInformation,DLL命
进程结构体EPROCESS
maomao171314的专栏
02-01 2096
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
EPROCESS 结构
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1116
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
易语言枚举隐藏进程
07-16
易语言枚举隐藏进程源码,枚举隐藏进程,枚举进程,提升进程权限,隐藏进程,取进程EProcess,十六文本至长整数,读物理内存,写物理内存,CreateToolhelp32Snapshot,Process32First,Process32Next,CloseHandle,OpenProcess,...
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
通过摘除EPROCESS隐藏系统进程
11-30
"通过摘除EPROCESS隐藏系统进程"是一种高级的恶意软件技术,用于使恶意进程在系统中变得不可见,以此躲避安全软件的检测。这种方法涉及到对Windows内核的深入理解和对系统调用的熟练操作。 首先,我们要理解...
易语言隐藏进程模块
08-16
易语言隐藏进程模块源码 系统结构:隐藏进程,用保护型打开进程,提升进程权限,写物理内存,读物理内存,取进程EProcess,十六文本至长整数,取字节集指针_,NtSystemDebugControl,取自进程ID,关闭系
Win10下的_EPROCESS结构记录
WorryFree
11-30 2190
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
进程线程 1.EPROCESS进程隐藏
Mikasys的博客
11-05 1367
一、EPROCESS结构体 EPROCESS结构 kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect
_EPROCESS断链 —— 实现进程内核隐藏
walker的博客
03-06 2290
我们可以利用 _EPROCESS 结构体中的 ActiveProcessLinks 双向链表遍历进系统中的进程,并将特定进程从该双向链表中移除,以达到隐藏特定进程的目的。 _EPROCESS _EPROCESS 结构体是内核用于管理和维护进程的结构体,每个进程都会有一个属于自己的结构体。同一个程序创建了多个进程,其就会有对应个数的 _EPROCESS 。 _EPROCESS 的结构如下: kd> dt _EPROCESS nt!_EPROCESS +0x000 Pcb
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1394
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 824
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
内核断链(ActiveProcessLinks)
qq_45844442的博客
06-23 212
3.在这个程序中没有直接使用EPROCESS+0xE8是为了兼容所有系统,而且通过搜寻特征的方法可以躲避各种检测。2.将其转换为大写匹配是否是目标程序,如果是则通过寻找目标EPROCESS结构体的。1.首先通过遍历所有的PID,使用。函数得到目标进程的全路径名称。
获得进程的EPROCESS
Kendiv's Box
01-31 5532
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
Win64 驱动内核编程-21.DKOM隐藏和保护进程
热门推荐
天使也掉毛
03-23 1万+
DKOM隐藏和保护进程 主要就是操作链表,以及修改节点内容。 DKOM 隐藏进程和保护进程的本质是操作 EPROCESS 结构体,不同的系统用的时候注意查下相关定义,确定下偏移,下面的数据是以win7 64为例。 关 注 两 个 成 员 : ActiveProcessLinks 和 Flag 。 ActiveProcessLinks 把各个EPROCESS 结构体连接成“双向链表”,ZwQ
驱动级Rootkit攻击测试——进程隐藏
摔不死的笨鸟的博客
09-16 663
学习内核编程,祝早日能编写POC程序! SSDT HOOK NtOpenProcess typedef NTSTATUS(*pfnNtOpenProcess)( PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); pfnNtOpenProcess OldNtOpenProcess; 定义一个指向API的函数指针定义方法。作用是定义API函数指针备份原来的函数地址。 typedef struct _SERVICE_DESCRIPTOR_T
eprocess存在进程内存中吗
最新发布
07-14
通过操作EPROCESS结构,操作系统内核能够管理和控制进程的行为,并提供对进程资源的访问和保护。 总之,EPROCESS结构存在于操作系统内核地址空间中,并由操作系统内核来维护和管理。应用程序无法直接访问或修改进程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值