基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程

最新推荐文章于 2022-07-27 05:42:55 发布
最新推荐文章于 2022-07-27 05:42:55 发布
阅读量734 收藏 4
点赞数 2
分类专栏: Windows 驱动开发
原文链接:https://www.write-bug.com/article/2184.html
版权

实现原理

进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。

可使用函数 PsGetCurrentProcess 获取当前进程结构 EPROCESS; PsGetProcessId 从 EPROCESS 结构中获取进程的 PID 信息;使用 PsGetProcessImageFileName 函数,从 ERPROCESS 结构中获取进程的名称信息。

其中,EPROCESS 结构中的成员 ActiveProcessLinks 的数据类型是 LIST_ENTRY。它是一个进程活动双向链表,ActiveProcessLinks 的 Flink 成员指向下一个进程结构 EPROCESS 的 ActiveProcessLinks 成员的地址;ActiveProcessLinks 的 Blink 成员指向上一个进程结构 EPROCESS 的 ActiveProcessLinks 成员的地址。

下面是使用 WinDbg 获取 Win10 64 位系统下的 EPROCESS 结构定义代码:

    lkd> dt _EPROCESS
    ntdll!_EPROCESS
       +0x000 Pcb              : _KPROCESS
       +0x2d8 ProcessLock      : _EX_PUSH_LOCK
       +0x2e0 RundownProtect   : _EX_RUNDOWN_REF
       +0x2e8 UniqueProcessId  : Ptr64 Void
       +0x2f0 ActiveProcessLinks : _LIST_ENTRY
       +0x300 Flags2           : Uint4B
       … …(省略)

当我们获取 ActiveProcessLinks 的地址的时候,我们可以根据 ActiveProcessLinks 在 EPROCESS 结构的偏移,计算出 EPROCESS 结构的地址。这样,我们就可以一直遍历下去,获取所有进程的信息。

事实上内核函数 ZwQuerySystemInformation 对进程查询也是找到活动进程链表头,然后遍历活动进程链。最后把每一个EPROCESS中包含的基本信息返回(包括进程ID名字等)。这就给进程隐藏的实现,提供了理论支持。

对于进程的隐藏,就是通过从 EPROCESS 结构中获取进程信息,判断该进程是否是要隐藏的进程,若是,则调用 RemoveEntryList 内核函数摘链,实现隐藏。所谓的摘链就是上一个 EPROCESS 结构成员 ActiveProcessLinks 的Flink 成员指向当前 EPROCESS 结构的下一个进程结构 EPROCESS 的 ActiveProcessLinks 成员的地址;当前 EPROCESS 结构的下一个进程结构 EPROCESS 成员 ActiveProcessLinks 的 Blink 指向当前 EPROCESS 结构的上一个 EPROCESS 结构的 ActiveProcessLinks 成员的地址。这样,当前的 EPROCESS 结构成员 ActiveProcessLinks 就没有链表指向,也就不能通过活动进程链遍历出来,于是便实现了指定进程的隐藏,而且这种隐藏方式并不影响被隐藏的进程正常运行。

其中,我们需要确定的就是,不同系统上,ActiveProcessLinks 在 EPROCESS 结构中的偏移位置。我们使用 WinDbg 在不同的系统中进行内核调试,查看 EPROCESS 的定义,总结出在不同系统上,ActiveProcessLinks 在 EPROCESS 结构中的偏移:
在这里插入图片描述

编码实现

枚举进程:

    // 遍历进程
    BOOLEAN EnumProcess()
    {
        PEPROCESS pFirstEProcess = NULL, pEProcess = NULL;
        ULONG ulOffset = 0;
        HANDLE hProcessId = NULL;
        PUCHAR pszProcessName = NULL;
        // 根据不同系统, 获取相应偏移大小
        ulOffset = GetActiveProcessLinksOffset();
        if (0 == ulOffset)
        {
            DbgPrint("GetActiveProcessLinksOffset Error!\n");
            return FALSE;
        }
        // 获取当前进程结构对象
        pFirstEProcess = PsGetCurrentProcess();
        pEProcess = pFirstEProcess;
        // 开始遍历枚举进程
        do
        {
            // 从 EPROCESS 获取进程 PID
            hProcessId = PsGetProcessId(pEProcess);
            // 从 EPROCESS 获取进程名称
            pszProcessName = PsGetProcessImageFileName(pEProcess);
            // 显示
            DbgPrint("[%d]%s\n", hProcessId, pszProcessName);
            // 根据偏移计算下一个进程的 EPROCESS
            pEProcess = (PEPROCESS)((PUCHAR)(((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset))->Flink) - ulOffset);
        } while (pFirstEProcess != pEProcess);
        return TRUE;
    }

隐藏指定进程:

    // 隐藏指定进程
    BOOLEAN HideProcess(PUCHAR pszHideProcessName)
    {
        PEPROCESS pFirstEProcess = NULL, pEProcess = NULL;
        ULONG ulOffset = 0;
        HANDLE hProcessId = NULL;
        PUCHAR pszProcessName = NULL;
        // 根据不同系统, 获取相应偏移大小
        ulOffset = GetActiveProcessLinksOffset();
        if (0 == ulOffset)
        {
            DbgPrint("GetActiveProcessLinksOffset Error!\n");
            return FALSE;
        }
        // 获取当前进程结构对象
        pFirstEProcess = PsGetCurrentProcess();
        pEProcess = pFirstEProcess;
        // 开始遍历枚举进程
        do
        {
            // 从 EPROCESS 获取进程 PID
            hProcessId = PsGetProcessId(pEProcess);
            // 从 EPROCESS 获取进程名称
            pszProcessName = PsGetProcessImageFileName(pEProcess);
            // 隐藏指定进程
            if (0 == _stricmp(pszProcessName, pszHideProcessName))
            {
                // 摘链
                RemoveEntryList((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset));
                // 显示
                DbgPrint("[Hide Process][%d][%s]\n", hProcessId, pszProcessName);
                break;
            }
            // 根据偏移计算下一个进程的 EPROCESS
            pEProcess = (PEPROCESS)((PUCHAR)(((PLIST_ENTRY)((PUCHAR)pEProcess + ulOffset))->Flink) - ulOffset);
        } while (pFirstEProcess != pEProcess);
        return TRUE;
    }

根据系统版本获取偏移大小:

    // 根据不同系统, 获取相应偏移大小
    ULONG GetActiveProcessLinksOffset()
    {
        ULONG ulOffset = 0;
        RTL_OSVERSIONINFOW osInfo = {0};
        NTSTATUS status = STATUS_SUCCESS;
        // 获取系统版本信息
        status = RtlGetVersion(&osInfo);
        if (!NT_SUCCESS(status))
        {
            DbgPrint("RtlGetVersion Error[0x%X]\n", status);
            return ulOffset;
        }
        // 判断系统版本
        switch (osInfo.dwMajorVersion)
        {
        case 6:
        {
            switch (osInfo.dwMinorVersion)
            {
            case 1:
            {
                // Win7
    #ifdef _WIN64
                // 64 Bits
                ulOffset = 0x188;
    #else
                // 32 Bits
                ulOffset = 0x0B8;
    #endif
                break;
            }
            case 2:
            {
                // Win8
    #ifdef _WIN64
                // 64 Bits
    #else
                // 32 Bits
    #endif
                break;
            }
            case 3:
            {
                // Win8.1
    #ifdef _WIN64
                // 64 Bits
                ulOffset = 0x2E8;
    #else
                // 32 Bits
                ulOffset = 0x0B8;
    #endif
                break;
            }
            default:
                break;
            }
            break;
        }
        case 10:
        {
            // Win10
    #ifdef _WIN64
            // 64 Bits
            ulOffset = 0x2F0;
    #else
            // 32 Bits
            ulOffset = 0x0B8;
    #endif
            break;
        }
        default:
            break;
        }
        return ulOffset;
    }
(-: LYSM :-)
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言伪装PID
07-16
易语言伪装PID源码,伪装PID,取进程EProcess,十六文本至长整数_,进程权限提升Debug,内存_写物理内存,内存_读物理内存,取自进程ID,取指针_字节集,RtlMoveMemory3,RtlMoveMemory2,OpenProcess,CloseHandle,NtSystemDebugControl,ZwQuerySystemInformation,DLL命
易语言枚举隐藏进程
07-16
易语言枚举隐藏进程源码,枚举隐藏进程,枚举进程,提升进程权限,隐藏进程,取进程EProcess,十六文本至长整数,读物理内存,写物理内存,CreateToolhelp32Snapshot,Process32First,Process32Next,CloseHandle,OpenProcess,...
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
Win10下的_EPROCESS结构记录
WorryFree
11-30 2145
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 810
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
获得进程的EPROCESS
Kendiv's Box
01-31 5518
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
驱动下通过进程PID获得进程名 (动态获取ImageFileName在EPROCESS结构体中的相对偏移)...
weixin_30828379的博客
01-31 855
思路   进程EPROCESS结构体中含有进程名ImageFileName(需求处ImageFileName在EPROCESS结构体中的相对偏移)——》获得进程EPROCESS——》通过进程句柄获得EPROCESS——》通过进程PID打开进程获得进程句柄 计算ImageFileName在EPROCESS结构体中的相对偏移     方法一 来个判断操作系统,再利用windbg调试得到相...
Windows内核驱动EPROCESS遍历进程模块
12-14
"EPROCESS遍历进程模块"这个主题涉及到的是如何在内核驱动中获取并遍历当前系统中所有进程的加载模块信息。EPROCESS结构体在Windows内核中代表一个进程,而模块则是进程执行时加载的动态链接库(DLL)或其他可执行...
通过摘除EPROCESS隐藏系统进程
11-30
"通过摘除EPROCESS隐藏系统进程"是一种高级的恶意软件技术,用于使恶意进程在系统中变得不可见,以此躲避安全软件的检测。这种方法涉及到对Windows内核的深入理解和对系统调用的熟练操作。 首先,我们要理解...
易语言隐藏进程模块
08-16
易语言隐藏进程模块源码 系统结构:隐藏进程,用保护型打开进程,提升进程权限,写物理内存,读物理内存,取进程EProcess,十六文本至长整数,取字节集指针_,NtSystemDebugControl,取自进程ID,关闭系
枚举 并且关闭 进程中的 线程的 源代码
09-03
枚举 并且关闭 进程中的 线程的 源代码 枚举 并且关闭 进程中的 线程的 源代码 枚举 并且关闭 进程中的 线程的 源代码 枚举 并且关闭 进程中的 线程的 源代码
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1345
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
进程结构体和线程结构体
kernweak的博客
05-03 1135
首先说明这分析的是XP系统,WIN7每个单元偏移略有差距 进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB在3环,EPROCESS在0环。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
遍历进程活动链表(ActiveProcessLinks)、DKOM隐藏进程
08-11 228
1.EPROCESS结构体 EPROCESS块来表示。EPROCESS块中不仅包含了进程相关了很多信息,还有很多指向其他相关结构数据结构的指针。例如每一个进程里面都至少有一个ETHREAD块表示的线程。进程的名字,和在用户空间的PEB(进程环境)块等等。EPROCESS中除了PEB成员块在是用户空间,其他都是在系统空间中的。 2.查看EPROCESS结构 kd> dt_e...
驱动编程,通过进程名获取进程结构
追逐光芒,追随内心
10-28 366
//功能:进程名,进程结构 VOID PsLookupProcessByProcessName(IN char* ProcessName, OUT PEPROCESS* Process) { PLIST_ENTRY list = NULL; PLIST_ENTRY entry = NULL; PEPROCESS_S SystemProcess; PsLookupProcessByProcessId((HANDLE)4, (PEPROCESS*)&SystemProcess); li...
通过GetProcessImageFileName函数获取进程路径
陌路缘
04-24 2万+
由于函数GetModuleFileName() 和 函数GetModuleFileNameEx()都是通过PE文件头信息获取进程文件路径,所以它们只能工作于与调用进程相同位数的进程,比如:调用进程32位时,这两个函数只对32位进程有效,64位同理。所以在64位进程与32位进程并存的64位机器中,只能通过GetProcessImageFileName()函数获取进程的DOS文件路径
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 3万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
EPROCESS进程全路径
SomeTimes
01-21 5406
Windows内核中通过PEPROCESS获取进程全路径。
通过EPROCESS枚举进程
尘埃落定
08-27 1472
http://bbs.pediy.com/showthread.php?p=583402  网上的一段代码 通过内存搜索EPROCESS枚举进程在我的xp sp2系统上测试 只能枚举出三个进程 这是为什么?关键代码如下:代码:VOID searchprocess(void){    ULONG    i;    ULONG    res
eprocess存在进程内存中吗
最新发布
07-14
在Windows操作系统中,EPROCESS进程控制块)是操作系统内核中的数据结构,用于描述和管理一个进程的信息。EPROCESS结构并不直接存在于进程的虚拟内存空间中,而是在内核地址空间中。 每个进程都有一个唯一的EPROCESS结构与之对应,这个结构由操作系统内核在进程创建时动态分配并初始化。EPROCESS结构存储在操作系统内核的非分页内存区域(Nonpaged Pool)中。 由于EPROCESS结构是在内核地址空间中维护的,所以用户模式的应用程序无法直接访问或修改进程的EPROCESS结构。应用程序只能通过操作系统提供的API函数来与内核进行交互,例如通过OpenProcess函数来获取进程句柄,然后使用其他相关的API函数对目标进程进行操作。 需要注意的是,EPROCESS结构保存了关于进程的重要信息,如进程ID、父进程ID、线程列表、句柄表、内存管理信息等。通过操作EPROCESS结构,操作系统内核能够管理和控制进程的行为,并提供对进程资源的访问和保护。 总之,EPROCESS结构存在于操作系统内核地址空间中,并由操作系统内核来维护和管理。应用程序无法直接访问或修改进程的EPROCESS结构,而是通过API函数与内核进行交互来操作进程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值