基于内存搜索的进程检测方法

最新推荐文章于 2020-03-18 13:51:50 发布
最新推荐文章于 2020-03-18 13:51:50 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: WINDDK 文章标签: windows list null thread header integer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happyhell/article/details/5831065
版权
本文探讨了Rootkit隐藏进程的常见方法,如挂钩NtQuerySystemInformation函数,以及如何通过搜索内存来检测隐藏进程。在Windows系统中,线程的ETHREAD结构包含指向所属进程EPROCESS的指针。通过遍历所有线程的ETHREAD结构,可以获取所有进程信息。文章详细阐述了如何判断内存块是否为线程ETHREAD结构,动态获取系统服务调度表地址,以及如何获取所有进程的EPROCESS结构。虽然这种方法在某些情况下可能存在不准确性,但它提供了一种检测隐藏进程的思路。
摘要由CSDN通过智能技术生成

搜索内存检测进程的原理
1) 问题的提出——进程检测
Rootkit等后门为了在系统中长期驻留,需要隐藏相应的信息。这些信息包括自启动项、文件、进程、模块、端口、注册表、服务等。其中,以进程隐藏特别突出(因为用户经常会打开任务管理器看看是不是有异常的进程在自己的机器上运行)。
隐藏进程的方法有多种,例如挂钩NtQuerySystemInformation函数;从内核EPROCESS结构的ActiveProcessLinks等双向链表上摘除自身;从csrss.exe进程的句柄表上摘除自身;从PspCidTable上摘除自身等等。如果Rootkit用到了其中的某种方法,那么基于此的检测将会失败。比如,hxdef100(黑客守护者)挂钩NtQuerySystemInformation实现隐藏,如果想通过NtQuerySystemInformation函数来获取全部进程信息就会失败。再比如,FU_rootkit通过从内核EPROCESS结构的ActiveProcessLinks双向链表上摘除自身实现隐藏,如果想通过遍历该链表来检测隐藏的FU_rootkit就会失败。现在问题来了,如果上面隐藏进程的方法都用到了,该怎么检测呢?
2)解决的思路之一——搜索内存
在Windows系统中,进程由内存空间、进程打开的各种对象和进程中运行的线程所组成。线程仅仅是一个执行上下文,系统调度的最基本单位,但每一个线程的运行都必须依附(attach)一个进程。
在Windbg中可以使用dt命令来查看线程ETHREAD的结构,命令格式为“dt _ETHREAD 线程地址”。例如:
kd> dt _ETHREAD 8238F3B8
nt!_ETHREAD
+0x000 Tcb              : _KTHREAD
+0x1c0 CreateTime       : _LARGE_INTEGER 0xe4d5cd5`36b71830
……
+0x21c DeviceToVerify   : (null)
+0x220 ThreadsProcess   : 0x8234f718 _EPROCESS
+0x224 StartAddress     : 0x7c810867
+0x228 Win32StartAddress : 0x010027f2
……
+0x254 ForwardClusterOnly : 0 ''
+0x255 DisablePageFaultClustering : 0 ''
在线程控制块的偏移0

最低0.47元/天 解锁文章
happy hell
关注
专栏目录
在一个进程内存里查找特定值字符串等
04-01
在一个进程内存里查找特定值字符串等 procedure ShowArrayTValueAddress(); //显示当前任务查出的地址列表 procedure ShowMemEditAddressList(); //显示当前的修改列表 procedure OnWMHOOKPROC(var Msg: TMessage);message WM_HOOKPROC; //Hook Message 处理挂钩消息 procedure AddAMission(ProcessesID : Handle;MissionName:string); //增加任务
基于内存搜索的隐藏进程检测技术
02-16
### 基于内存搜索的隐藏进程检测技术 #### 概述 随着互联网技术的发展以及网络攻击手段的多样化,恶意程序的设计目标也发生了变化,从最初的炫耀技术转变为以获取经济利益和敏感信息为主要目的。为了确保自身的...
监控进程并重启
weixin_33860722的博客
11-09 403
<?php// 监控进程并重启ini_set('date.timezone','Asia/Shanghai');class checkProcess{ protected $dir = ''; protected $deadtime = 0; public function __construct($dirname){ $this->dir = $dirname;...
剖析程序的内存布局
热门推荐
沈雷的专栏
07-11 1万+
原文标题:Anatomy of a Program in Memory原文地址:http://duartes.org/gustavo/blog/ [注:本人水平有限,只好挑一些国外高手的精彩文章翻译一下。一来自己复习,二来与大家分享。]     内存管理模块是操作系统的心脏;它对应用程序和系统管理非常重要。今后的几篇文章中,我将着眼于实际的内存问题,但也不避讳其中的技术内幕。由
安全搜索进程内存空间(一)
10-16 2065
 CMDHZ 本文发表在黑防2008的2期上,按照他们要求的间隔时间已经过了,所以贴上来。本文设计了用于演示的程序,一下子没有找到怎么发附件,所以需要的读者就向邮箱lisl03@gmail.com发 application mail吧。ShellCode的编写好像是一个永远说不完的话题。在11期《黑客防线》上我写了《再谈绕过卡巴斯基主动防御的ShellCode编写》的文章。
隐藏进程检测
Tommy(凌飞)的专栏
11-17 3266
 隐藏进程检测User Mode下的隐藏进程检测我们先来看一些简单的方法,这些方法可以用在ring3下,用不着驱动。检测的原理是每一个进程活动时都会暴露一些痕迹,可以通过这些痕迹检测到它们。这些痕迹包括打开的句柄、窗口和创建的系统对象。针对类似的检测方法来实现进程隐藏并不困难,但需要考虑进程工作时可能暴露出的所有迹象。目前还没有一个公开的rootkit做到了这一点(遗憾的是私有版本我也还没见到)。
基于静态分析方法的Android应用内存泄漏检测模型.pdf
09-21
基于静态分析方法的Android应用内存泄漏检测模型 Android 应用程序的内存泄漏问题较为常见,主要是由于部分开发人员对 Android 内存管理机制理解模糊所致。为了解决内存泄漏的检测问题,首先需要分析 Android 系统...
drizzleDumper是一款基于内存搜索的Android脱壳工具 .zip
最新发布
04-24
【drizzleDumper:一款基于内存搜索的Android脱壳工具】 在移动安全领域,尤其是在逆向工程和应用安全分析中,Android脱壳工具扮演着至关重要的角色。drizzleDumper就是这样一款工具,专为Android应用的动态分析...
C++ 进程内存搜索,特征码极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索,特征码极速定位,方便找Call 找地址!!
进程检测
haiou327’blog
12-29 361
function FindProcess(AFileName:string):boolean; var hSnapshot:THandle; lppe:TProcessEntry32; Found:Boolean; begin Result:=False; hSnapshot:
安全搜索进程内存空间(二)
10-16 1522
 2、异常信息当一个异常发生时,操作系统向异常处理的线程堆栈中压入3个结构,这三个结构是:EXCEPTION_RECORD,CONTEXT, EXCEPTION_POINTERS。1、 EXCEPTION_ RECORD结构EXCEPTION_ RECORD结构包含了有关最近发生异常的详细信息,这些信息独立于CPU。其结构如下:EXCEPTION_ RE
Linux入门:Linux进程检测与控制
黑马程序员官方博客
03-18 380
学习目标 1、了解进程和程序的关系 2、了解进程的特点 3、能够使用top动态查看进程信息 4、能够使用ps静态查看进程信息 5、能够使用kill命令给进程发送信号 6、能够调整进程的优先级(扩展) 引言 ​ 在运维的日常工作中,监视系统的运行状况是每天例行的工作,在 Windows 中我们可以很直观的使用"任务管理器"来进行进程管理,了解系统的运行状态 通常,使用"任务管理器"...
检测进程
weixin_30511039的博客
01-09 158
$sh = 'ps aux|grep -v grep|grep "/data/wwwroot/project/public/work.php"'; $output = shell_exec($sh); if(!$output){ $title = 'qmzg workman shutdown'; ...
Linux编程 6 (查看进程 ps 及输出风格)
weixin_33910385的博客
09-08 135
一.查看进程命令ps   1.1默认ps 命令         在默认情况下,ps命令只会显示运行在当前控制台下,属于当前用户的进程,在上图中,我们只运行了bash shell以及ps命令本身。 上图中显示了程序的进程ID(1538,1583),它们运行在TTY终端, 以及进程已有的CPU(TIME)时间。   1.2ps 风格以及参数    在linux系统中使用的GNU ps命令支持...
检测进程是否存在
daiyinger的专栏
03-22 715
//检查指定进程是否存在 int detect_process(const char * process_name) { int n = -1; FILE *strm; char buf[128]; sprintf(buf,"ps -e | grep -c %s", process_name);
检测进程权限
x
10-22 421
只能在vista及以上有效   BOOL RunAsAdmin(HANDLE hProcess) { BOOL isAdmin = FALSE; HANDLE hToken = NULL; BOOL retValue = OpenProcessToken(hProcess,TOKEN_QUERY,&amp;hToken); if(!retValue) ...
安全搜索进程内存空间
ssihc0的专栏
11-02 1341
本文发表在黑防2008的2期上,按照他们要求的间隔时间已经过了,所以贴上来。本文设计了用于演示的程序,一下子没有找到怎么发附件,所以需要的读者就向邮箱lisl03@gmail.com发 application mail吧。 ShellCode的编写好像是一个永远说不完的话题。在11期《黑客防线》上我写了《再谈绕过卡巴斯基主动防御的ShellCode编写》的文章。小弟最近在编写
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值