RING0级暴力搜索内存检测系统隐藏进程(或ROOTKIT)(实测可运行)

最新推荐文章于 2024-08-12 08:33:05 发布
最新推荐文章于 2024-08-12 08:33:05 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: 驱动开发学习
最近期末答辩不知道写什么好,就写一个安全软件吧。软件使用驱动和C++编写,大概多数安全软件都是这样吧。
时间关系,就不说那么多了,直接入正题吧。
在此先感谢“伊丽_杀_白”、“堕落天才”、“antirootkit”等提供的优秀文章,我只是在他们基础之上修改了一下。

伊丽_杀_白    暴力搜索内存空间检测隐藏进程: http://bbs.xdnice.com/thread-377796-1-1.html

堕落天才        ring0检测隐藏进程: http://bbs.pediy.com/showthread.php?t=44243

antirootkit        枚举隐藏进程for ring0(搜索内存大法): http://hi.baidu.com/antirootkit/blog/item/d2314b5c94772040fbf2c00b.html  

原理:
大概流程图如下,当然我修改了部分。




下面看代码吧,没时间了,等下十点还要上课,有不明白的可以留言。我会解答的。
 
不过这种方法还是很容易躲过,详细就不公布出来了,看来还是要找另外一种方法了。


#include < ntddk.h >


// EPROCESS结构大小,我的系统是XP SP3,所以0x260,不过经过测试,这里设置成比实际EPROCESS小也是没问题的
#define   EPROCESS_SIZE       0x260 
#define   PEB_OFFSET          0x1B0         // PEB偏移,下面就不注释了
#define   FILE_NAME_OFFSET    0x174
#define   PROCESS_LINK_OFFSET 0x088
#define   PROCESS_ID_OFFSET   0x084
#define   EXIT_TIME_OFFSET    0x078

#define   OBJECT_HEADER_SIZE  0x018
#define   OBJECT_TYPE_OFFSET  0x008


ULONG        ulPebAddress;                         // PEB地址的前半部分
ULONG        ulStartAddress, ulEndAddress;         // 起始,结束地址
ULONG        ulObjectType;                         // 进程对象类型

BOOLEAN        IsaRealProcess(ULONG pEprocess);     // 该函数判断是否真的是进程
VOID        WorkThread(IN PVOID pContext);         // 新开线程防止系统顿卡
VOID        UpdateEndStartPebAddress();             // 更新首尾地址和PEB地址
VOID        EnumProcess();                         // 枚举进程
VOID        ShowProcess(ULONG pEProcess);         // 显示进程信息

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
{
    HANDLE hThread;

    DriverObject  ->  DriverUnload  =  OnUnload;
    UpdateEndStartPebAddress();

    ulObjectType  =   * (PULONG)((ULONG)ulEndAddress  -  OBJECT_HEADER_SIZE  +  OBJECT_TYPE_OFFSET);
    PsCreateSystemThread( & hThread,
        (ACCESS_MASK) 0 ,
        NULL, 
        (HANDLE) 0
        NULL, 
        WorkThread, 
        NULL ); 

     return  STATUS_SUCCESS;
}
 / /
VOID WorkThread(IN PVOID pContext)

    EnumProcess();
    PsTerminateSystemThread(STATUS_SUCCESS);
}
 // //
VOID UpdateEndStartPebAddress()
{
    ULONG ulEProcessAddress  =  (ULONG)IoGetCurrentProcess();
    ULONG pEProcess;
     // IoGetCurrentProcess返回的是System进程EPROCESS结构地址,此处已经是搜索结束处。
    ulStartAddress  =  ulEndAddress  =  ulEProcessAddress;

    ulEProcessAddress  =  (ULONG)(((PLIST_ENTRY)(ulEProcessAddress  +  PROCESS_LINK_OFFSET)) -> Flink)  -  PROCESS_LINK_OFFSET;
    ulPebAddress  =   * (PULONG)(ulEProcessAddress  +  PEB_OFFSET)  &   0xFFFF0000 ;

     while  (ulEProcessAddress  !=  ulEndAddress) 
    {         // 遍历EPROCESS结构,找到最小地址处
        ulEProcessAddress  =  (ULONG)(((PLIST_ENTRY)(ulEProcessAddress  +  PROCESS_LINK_OFFSET)) -> Flink)  -  PROCESS_LINK_OFFSET;
         if  (ulStartAddress  >  ulEProcessAddress)
            ulStartAddress  =  ulEProcessAddress;
    }
}
 // /
VOID EnumProcess()
{

    ULONG  i;
    ULONG nCount  =   2 ;
    ULONG  Address;
    ULONG  ret;

    KdPrint(( " -------------------------------------------\r\n " ));
    KdPrint(( " EProcess    PID    ImageFileName\r\n " ));
    KdPrint(( " -------------------------------------------\r\n " ));
     // 系统空闲进程的检测方法有点特殊,只作参考
    ShowProcess( * (PULONG)(ulStartAddress  +  PROCESS_ID_OFFSET));
     // system的PEB总是零 上面的方法是枚举不到的 不过我们用PsGetCurrentProcess就能得到了
    ShowProcess(ulEndAddress);

     for (i  =  ulStartAddress; i  <  ulEndAddress; i  +=   4 ) { // system进程的EPROCESS地址就是最大值了
         if  (MmIsAddressValid((PVOID)i)) {
            Address  =   * (PULONG)i;
             if  (( Address  &   0xFFFF0000 ==  ulPebAddress){ // 每个进程的PEB地址都是在差不多的地方,地址前半部分是相同的       
                 if  (IsaRealProcess(i)) {
                    ShowProcess(i  -  PEB_OFFSET);
                    i  -=   4 ;
                    i  +=  EPROCESS_SIZE;
                    nCount  ++ ;
                }
            }
        }  else  {
            i  -=   4 ;
            i  +=   0x5000000 ; // 5M
        }
    }    
    KdPrint(( " -------------------------------------------\r\n " ));
    KdPrint(( " =====   Total Processes count:%3d   =======\r\n " , nCount));
    KdPrint(( " -------------------------------------------\r\n " ));
}
 /
 VOID ShowProcess(ULONG pEProcess)
{
    PLARGE_INTEGER ExitTime;
    ULONG PID;
    PUCHAR pFileName;

    ExitTime  =  (PLARGE_INTEGER)(pEProcess  +  EXIT_TIME_OFFSET);
     if (ExitTime -> QuadPart  !=   0 // 已经结束的进程的ExitTime为非零
         return  ;

    PID  =   * (PULONG)(pEProcess  +  PROCESS_ID_OFFSET);
    pFileName  =  (PUCHAR)(pEProcess  +  FILE_NAME_OFFSET);

    KdPrint(( " 0x%08X  %04d   %s\r\n " ,pEProcess,PID,pFileName));
}
 /// /
BOOLEAN IsaRealProcess(ULONG pEprocess)
{
    NTSTATUS STATUS;
    PUNICODE_STRING pUnicode;
    UNICODE_STRING Process;
    ULONG pObjectType;
    ULONG ObjectTypeAddress;

     if  ( ! MmIsAddressValid((PVOID)(pEprocess  -  PEB_OFFSET)))
         return  FALSE;

    ObjectTypeAddress  =  pEprocess  -  PEB_OFFSET  -  OBJECT_HEADER_SIZE  +  OBJECT_TYPE_OFFSET ;

     if  (MmIsAddressValid((PVOID)ObjectTypeAddress)) {
        pObjectType  =   * (PULONG)ObjectTypeAddress;
    }  else  {
         return  FALSE;
    }

     if (ulObjectType  ==  pObjectType) { // 确定ObjectType是Process类型
         return  TRUE;
    }
     return  FALSE;
}
cosmoslife
关注
专栏目录
暴力搜索内存 scan memory
05-31
最近写暴力搜索内存,找出所以字符串资源,但出现非法内存访问,而且有特别慢,这个可以解决啦
隐藏进程查看器
08-30
一个Windows的隐藏进程查看工具,可以方便的查看被隐藏进程
[转载]侦测隐藏进程
yanjingtu2008的专栏
11-05 1781
侦测隐藏进程Detection of the hidden processes俄语原文:http://wasm.ru/article.php?article=hiddndt俄文翻译:kaohttp://community.reverse-engineering.net/viewtopic.php?t=4685中文翻译: prince后期校验:firstrose=================
探索硬件奥秘:WinRing0——Windows系统的硬件访问库
最新发布
gitblog_00850的博客
08-12 412
探索硬件奥秘:WinRing0——Windows系统的硬件访问库 WinRing0WinRing0 is a hardware access library for Windows.项目地址:https://gitcode.com/gh_mirrors/wi/WinRing0 项目介绍 WinRing0是一款专为Windows系统设计的硬件访问库,它为x86/x64架构的应用程序提供了直接访问I...
检测隐藏进程
a572893208的博客
10-15 588
许多用户都有过用Windows自带的任务管理器查看所有进程的经验,并且很多人都认为在任务管理器中隐藏进程是不可能的。而实际上,进程隐藏是再简单不过的事情了。有许多可用的方法和参考源码可以达到进程隐藏的目的。令我惊奇的是只有很少一部分的木马使用了这种技术。估计1000个木马中仅有1个是进程隐藏的。我认为木马的作者太懒了,因为隐藏进程需要进行的额外工作仅仅是...
简单的暴力搜索
weixin_30586257的博客
08-23 88
就是一个国际象棋的棋盘,可以八个方向走,问从起点到终点的最少步数是多少,还给出一个一个点是不可走的,简单的bfs #include<stdio.h> #include<algorithm> #include<iostream> #include<string.h> #include<queue> #include<m...
隐藏进程检测
Tommy(凌飞)的专栏
11-17 3240
 隐藏进程检测User Mode下的隐藏进程检测我们先来看一些简单的方法,这些方法可以用在ring3下,用不着驱动。检测的原理是每一个进程活动时都会暴露一些痕迹,可以通过这些痕迹检测到它们。这些痕迹包括打开的句柄、窗口和创建的系统对象。针对类似的检测方法来实现进程隐藏并不困难,但需要考虑进程工作时可能暴露出的所有迹象。目前还没有一个公开的rootkit做到了这一点(遗憾的是私有版本我也还没见到)。
ring0驱动内核ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
01-27
Ring0驱动程序是操作系统内核最底层的代码,它运行在最高权限别,通常被称为“环0”或“内核模式”。Rootkit是一种恶意软件,它的目标是隐藏自身和其他恶意软件的存在,使得常规的安全工具无法检测到它们。当...
ring0驱动开发Rootkit隐藏进程.zip
01-25
ring0驱动开发Rootkit隐藏进程.zip
ring0 ssdt rootkit hook隐藏服务进程 隐藏端口.zip
01-24
Ring0 SSDT Rootkit Hook是一种高的恶意软件技术,它涉及到操作系统最底层的层次,即Ring0别。在Windows系统中,Ring0是操作系统的内核模式,具有最高的权限,可以访问和修改系统的关键资源。Rootkit是黑客或...
windows xp隐藏进程 源代码.rootkit技术
01-24
3. "用户态隐藏进程的通用版本 无驱动sys 在ring3中执行Ring0代码":这可能是一个源代码文件,展示了如何在不编写内核驱动(sys文件)的情况下,在Ring3中执行Ring0别的代码,从而实现进程隐藏。这种技术避免了...
ring0 rootkit隐藏注册表中的项.zip
01-24
ring0 rootkit隐藏注册表中的项.zip
暴力搜索内存 直接内存搜索枚举内存的原理和实现
07-25
暴力搜索内存 直接内存搜索枚举内存的原理和实现
内存写入监视器(驱动版)纯E 附驱动源码
07-21
内存写入监视器(驱动版)纯E 附驱动源码内存写入监视器(驱动版)纯E 附驱动源码内存写入监视器(驱动版)纯E 附驱动源码
windows内存读写监视
02-26
windows内存读写监视 windows内存读写监视
检测隐藏进程(一)
tcz999的专栏
11-19 1189
许多用户都有过用视窗系统自带的任务管理器查看所有进程的经验,并且非常多人都认为在任务管理器中隐藏进程是不可能的。而实际上,进程隐藏是再简单不过的事情了。有许多可用的方法和参考源码能达到进程隐藏的目的。令我惊奇的是只有非常少一部分的木马使用了这种技术。估计1000个木马中仅有1个是进程隐藏的。我认为木马的作者太懒了,因为隐藏进程需要进行的额外工作仅仅是对原始码的拷贝-粘贴。所
侦测隐藏进程
jingzu的专栏
11-27 2357
中文翻译: prince   后期校验:firstrose E-mail: cracker_prince@163.com 说明:在看雪学院[外文翻译区](bbs.pediy.com)看到linhanshi版主的转贴:http://bbs.pediy.com/showthread.php?s=&threadid=20076, 觉得是非常好的文章,顺手翻译一下,当作E文学习,原作者、俄文翻译者ka
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值