HOOK SwapContext 枚举隐藏进程(学习笔记4)(2)

最新推荐文章于 2022-08-21 12:50:09 发布
最新推荐文章于 2022-08-21 12:50:09 发布
阅读量859 收藏
点赞数
分类专栏: 驱动开发学习 文章标签: hook thread null session object less

下面是主要代码

 

01 DWORD gThreadsProcessOffset =0x220;    // ETHREAD 在 EPROCESS偏移
02 /*
03  
04 +0x218 TopLevelIrp      : Uint4B
05 +0x21c DeviceToVerify   : Ptr32 _DEVICE_OBJECT
06 +0x220 ThreadsProcess   : Ptr32 _EPROCESS
07 */
08  
09 ULONG ProcessNameOffset = 0x174;      // 进程对应的文件名 在 EPROCESS偏移
10 /*
11 +0x170 Session          : Ptr32 Void
12 +0x174 ImageFileName    : [16] UChar
13 +0x184 JobLinks         : _LIST_ENTRY
14 */
15  
16 PProcessList wLastItem = NULL;       
17 int BeTerminate = 0;                  //1 表示线程必须要停止  3表示线程不是PENDING状态  0表示线程可以正常运行
18  
19 void _stdcall CollectProcess(PEPROCESS pEPROCESS)  // 搜集EPROCESS
20 {
21   if (!IsAdded(wLastItem, pEPROCESS)) AddItem(&wLastItem, pEPROCESS);
22   return;
23 }
24  
25 void __stdcall ThreadCollect(PUCHAR pEthread)   //根据ETHREAD得到EPROCESS 并调用CollectProcess来搜集
26 {
27   PEPROCESS pEprocess = *(PEPROCESS *)(pEthread + gThreadsProcessOffset);
28   if (pEprocess) CollectProcess(pEprocess);
29   return;
30 }
31  
32  
33 DWORD outPEthread = 0;
34 void __stdcall ProcessData(DWORD pInEthread, DWORD pOutEthread)
35 {
36   DWORD pid, eprocess;
37   char * pname;
38   if (MmIsAddressValid(PVOID(pInEthread+0x220)) )   
1 // 这里以及下面要判断是不是一个真正的 Ethread 结构体 有时好像调用SwapContext传进来的不是 
001 //Ethread 结构体 然后就蓝屏 具体没有深究 加个判断就不蓝了~
002   {
003     eprocess = *(DWORD*)(pInEthread+0x220);
004      
005     if (MmIsAddressValid(PVOID(eprocess) ) )
006     {
007       ThreadCollect((PUCHAR)pInEthread);
008     }
009      
010   }
011 }
012  
013  
014  
015 PBYTE GoBackAddr = NULL;
016 PBYTE ChangAddr = NULL;
017  
018 DWORD CallContextOffset = 0;
019  
020 __declspec(nakedVOID HookSwap()
021 {
022  
023   _asm
024   {
025     pushad
026       pushfd
027       cli
028   }
029  
030   _asm
031   {
032        // EDI 是换出的线程上下文
033          push edi
034       //ESI 是换入的线程上下文
035       push esi
036       call ProcessData   //搜集进程
037   }
038    
039   _asm
040   
041     sti
042       popfd
043       popad
044   }
045   _asm jmp DWORD PTR[GoBackAddr]
046 }
047  
048 /*
049 得到SwapContext地址的原理是
050 用PsLookupThreadByThreadId得到Idle System的KTHREAD
051 res=(PCHAR)(Thread->Tcb.KernelStack);
052 SwapAddr=*(DWORD *)(res+0x08);
053 */
054 PCHAR GetSwapAddr()
055 {
056   PCHAR res = 0;
057   NTSTATUS  Status;
058   PETHREAD Thread;
059    
060   if (*NtBuildNumber <= 2195)
061     Status = PsLookupThreadByThreadId((PVOID)4, &(PETHREAD)Thread);
062   else
063     Status = PsLookupThreadByThreadId((PVOID)8, &(PETHREAD)Thread);
064    
065   if (NT_SUCCESS(Status))
066   {
067     if (MmIsAddressValid(Thread))
068     {
069       res = (PCHAR)(Thread->Tcb.KernelStack);
070  
071     }
072     if (MmIsAddressValid(res+8))
073     {
074       _asm
075       {
076         mov eax,res
077           add eax,8
078           mov eax,[eax]
079           mov res,eax
080       }
081     }
082     else
083     {
084       res = 0;
085       return NULL;
086     }
087   }
088   _asm
089   {
090     mov eax,res
091       sub eax,5
092       mov ChangAddr,eax
093       mov edx,[eax+1]
094       mov CallContextOffset,edx
095       add eax,edx
096       add eax,5
097       mov GoBackAddr,eax
098       mov res,eax
099   }
100   return res;
101 }
102  
103  
104  
105 BOOL  HookSwapFunction(BOOL flag)
106
107   if (flag == TRUE)
108   {
109     KIRQL OldIrql=0;
110     DWORD NewOffset;//HookSwap-ChangAddr-5;
111     _asm
112     {
113       mov eax,HookSwap
114         mov edx,ChangAddr
115         sub eax,edx
116         sub eax,5
117         mov NewOffset,eax
118     }
119  
120     PAGED_CODE()
121       ASSERT(KeGetCurrentIrql()<=DISPATCH_LEVEL);
122     KeRaiseIrql(2,&OldIrql);//HIGH_LEVEL
123     __asm
124     {
125       CLI
126         MOV   EAX, CR0
127         AND   EAX, NOT 10000H  //disable WP bit
128         MOV   CR0, EAX
129     }
130     _asm
131     {
132       mov eax,ChangAddr
133         push NewOffset
134         pop dword ptr[eax+1]
135          
136     }
137      
138     __asm
139     {
140       MOV   EAX, CR0
141         OR    EAX, 10000H  //enable WP bit
142         MOV   CR0, EAX
143         STI
144     }
145      
146      
147     KeLowerIrql(OldIrql);
148      
149   }
150   //Bug Check 0xD1: DRIVER_IRQL_NOT_LESS_OR_EQUAL
151    
152   else
153   {
154     KIRQL OldIrql=0;
155     KeRaiseIrql(2,&OldIrql);///HIGH_LEVEL
156     __asm
157     {
158       CLI
159         MOV   EAX, CR0
160         AND   EAX, NOT 10000H  //disable WP bit
161         MOV   CR0, EAX
162     }
163      
164     _asm
165     {
166       mov eax,ChangAddr
167         push CallContextOffset
168         pop dword ptr[eax+1]
169     }
170      
171      
172     __asm
173     {
174       MOV   EAX, CR0
175         OR    EAX, 10000H  //enable WP bit
176         MOV   CR0, EAX
177         STI
178     }
179     KeLowerIrql(OldIrql);
180     //    DbgPrint("HookSwapFunctionFALSE");//jution
181   }
182    
183 }
184  
185 PEPROCESS processObject (PETHREAD ethread) {
186   return  (PEPROCESS)(ethread->Tcb.ApcState.Process);
187 }
188  
189  
cosmoslife
关注
专栏目录
HOOK SwapContext 枚举隐藏进程(学习笔记4)
01-08 3865
 作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有用的模块 自己整合实现了下 确定支持XP3, XP2没测试 应该也能支持 附完整工程代
易语言枚举隐藏进程
07-16
易语言枚举隐藏进程源码,枚举隐藏进程,进程信息,EnumPro,取公司名称,GetCommandLine,数值到时间,GetUser_WTS,DOS路径转换_,处理事件_,LoadLibrary,GetProcAddress,FreeLibrary,loadDll,GetActiveWindow,GetCurrentProcessId,SendMessageA,ImageList_Destr
win7x64hookSwapContext函数
01-05
64位系统下hook SwapContext函数,ring0。
HOOK SwapContext 枚举隐藏进程(学习笔记4)(3)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 608
190   191 void  klisterUnload(IN PDRIVER_OBJECT pDriverObject) 192 { 193   BeTerminate = 1; 194   while(B
HOOK SwapContext 枚举隐藏进程(学习笔记4)(1)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1166
HOOK SwapContext 枚举隐藏进程(学习笔记4) 作者:windows内核安全技术站A盾电脑防护 dump 文件接收:asm32asm@gmail.com " style="text-decoration:none; color:rgb(69,82,95)">A盾电脑防护 | 分类: 分类:进程 | 标签: | 2012-2-21 作 者: bzhkl
VB 枚举隐藏进程
chenhui530的专栏
10-09 4604
这篇文章是我翻译了两篇VC文章结合在一起的成果~具体是翻译的文章出处我也不清楚,我也是在网络上找到的希望原作者见谅!此文章是通过获取内核数据枚举EPROCESS结构来枚举进程的.所以现在大部分隐藏进程的程序都可以有一一列出来.在有的机器上运行可能会出错.由于时间关系我只写了检查注释如果有不懂的大家请在这里留言我会一一作答.下面是VB源码:VERSION 5.00Begin VB.Form
易语言-apihook达到对指定进程隐藏窗口
06-25
在本案例中,我们讨论的是使用易语言实现API Hook,从而达到对指定进程隐藏窗口的目的。易语言是一种中文编程语言,它以简洁的词汇和语法为特点,适合初学者学习。 API Hook的基本原理是通过在目标进程的调用链中...
APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程
最新发布
09-22
标题“APIHook.rar_APIHOOK_api hide_api to hide process_hook_隐藏进程”表明此压缩包文件内容涉及API Hook技术,特别是利用它来隐藏进程的实现方法。 API Hook的基本原理是将系统调用或库函数的原始实现替换为...
VC 键盘HOOK枚举隐藏/显示指定窗口.rar
07-10
在这个“VC 键盘HOOK枚举隐藏/显示指定窗口”的项目中,开发者创建了一个程序,该程序能够安装键盘钩子,监听键盘输入,并根据按键操作来控制特定窗口的可见性。 首先,让我们了解一下键盘钩子(Keyboard Hook)...
易语言枚举系统所有ApiHook
07-16
易语言枚举系统所有ApiHook源码,枚举系统所有ApiHook,枚举程序内所有ApiHook,枚举ApiHook,计算偏差,取模块完整路径,进程ID取模块,取进程ID,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,...
win32拦截SwapContext函数
06-12
拦截swapcontext函数,处理线程切换
5种方法得到所有进程名(包括隐藏进程
11-07
VB使用5种方法得到所有进程名(包括隐藏进程),2000系统下可能不能使用,判断系统版本如果是2K以下的系统就报错退出,获取Debug权限这是必须的。获取常规下的进程,打印进程、判断指定进程是否为隐藏进程……   以下5种方法在Windows NT各个版本上都有:   NT 5.1 新增的:   获取KdVersionBlock,从内核空间拷贝到用户空间,或者从用户空间拷贝到用户空间,但是不能从用户空间拷贝到内核空间,从物理地址拷贝到用户空间,不能写到内核空间,读写处理器相关控制块,读写端口,读写总线数据,枚举Kernel Module函数,判断Nt系列函数是否调用成功,创建一个ACE,允许当前用户读写PhysicalMemory
基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程
墨鱼菜鸡
06-24 176
实现原理 进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。 可使用函数 PsGetCurrentP...
枚举隐藏进程hook SwapContext线程调度法
10-28 1006
PBYTE GoBackAddr = NULL;PBYTE ChangAddr = NULL;PBYTE CallContextAddr = NULL;DWORD CallContextOffset = 0;                                                                                                
[C/C++]windows下实现swapcontext等函数实践
weixin_34391445的博客
07-02 616
2019独角兽企业重金招聘Python工程师标准>>> ...
InlineHookSwapContext
weixin_34364071的博客
10-21 118
作用:枚举进程, 获取隐藏进程的EPROCESS源码地址:https://github.com/haidragon/HookSwapContext #include <ntddk.h> #include <ntimage.h> #include <ntdef.h> #include "hash.h" #include "xde.h" #include "main...
(24)[进程与线程] 分析SwapContext
qq_50332504的博客
08-21 825
SwapContext有几个参数? SwapContext在哪里实现了线程切换? 哪里进行了进程切换(修改CR3)? TSS存储当前的 SS0 : ESP0。 FS:[0]在3环总能正确指向当前TEB。 异常链表的切换。 完整分析代码。
r0下多核hook
hongduilanjun的博客
03-23 1691
文章首发奇安信攻防社区:https://forum.butian.net/share/1361 r0层多核下hook高并发函数存在的问题是:在使用如memcpy的时候,无法一次性拷贝5个字节的硬编码。即有可能拷贝到一半,别的线程去执行了代码导致蓝屏。 解决的办法有: 短跳中转 中断门 找一条一次性修改8字节的指令 这里将使用第三种方法实现。 SwapContext 这是线程切换核心函数,Windows几乎无时无刻在执行这个函数,所以属于是高并发函数。 本文将在多核环境下通过hook SwapCont
自己Swap自己,Ring0下做测试器时用的代码
05-10 1019
作者:vxk#include "vx_main.h"#include "mem.h"#include #include void MySwapContextHook();void MySwapContextEndHook();static DWORD SwapContextPtr=0;static DWORD SwapContextCnt=0;extern HANDLE CurrentProc
SSDTHook技术解析:进程隐藏与保护
"进程隐藏进程保护的技术探讨,主要聚焦于SSDTHook的实现方法" 在计算机编程领域,进程隐藏进程保护是安全和逆向工程中的重要话题。本资源详细介绍了利用System Service Descriptor Table (SSDT) Hook来实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值