基于内存搜索的进程检测方法

最新推荐文章于 2024-03-17 16:11:29 发布
最新推荐文章于 2024-03-17 16:11:29 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: WINDDK 文章标签: windows list null thread header integer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happyhell/article/details/5831065
版权

搜索内存检测进程的原理
1) 问题的提出——进程检测
Rootkit等后门为了在系统中长期驻留,需要隐藏相应的信息。这些信息包括自启动项、文件、进程、模块、端口、注册表、服务等。其中,以进程隐藏特别突出(因为用户经常会打开任务管理器看看是不是有异常的进程在自己的机器上运行)。
隐藏进程的方法有多种,例如挂钩NtQuerySystemInformation函数;从内核EPROCESS结构的ActiveProcessLinks等双向链表上摘除自身;从csrss.exe进程的句柄表上摘除自身;从PspCidTable上摘除自身等等。如果Rootkit用到了其中的某种方法,那么基于此的检测将会失败。比如,hxdef100(黑客守护者)挂钩NtQuerySystemInformation实现隐藏,如果想通过NtQuerySystemInformation函数来获取全部进程信息就会失败。再比如,FU_rootkit通过从内核EPROCESS结构的ActiveProcessLinks双向链表上摘除自身实现隐藏,如果想通过遍历该链表来检测隐藏的FU_rootkit就会失败。现在问题来了,如果上面隐藏进程的方法都用到了,该怎么检测呢?
2)解决的思路之一——搜索内存
在Windows系统中,进程由内存空间、进程打开的各种对象和进程中运行的线程所组成。线程仅仅是一个执行上下文,系统调度的最基本单位,但每一个线程的运行都必须依附(attach)一个进程。
在Windbg中可以使用dt命令来查看线程ETHREAD的结构,命令格式为“dt _ETHREAD 线程地址”。例如:
kd> dt _ETHREAD 8238F3B8
nt!_ETHREAD
+0x000 Tcb              : _KTHREAD
+0x1c0 CreateTime       : _LARGE_INTEGER 0xe4d5cd5`36b71830
……
+0x21c DeviceToVerify   : (null)
+0x220 ThreadsProcess   : 0x8234f718 _EPROCESS
+0x224 StartAddress     : 0x7c810867
+0x228 Win32StartAddress : 0x010027f2
……
+0x254 ForwardClusterOnly : 0 ''
+0x255 DisablePageFaultClustering : 0 ''
在线程控制块的偏移0

最低0.47元/天 解锁文章
happy hell
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022年安徽省赛赛题——B-1任务一:内存取证
panda.
09-23 1043
2022年安徽省赛赛题——B-1任务一:内存取证
App静态逆向分析思路浅析(过检测)
哆啦安全
11-15 2646
通过以下链接,获取优惠券,加入哆啦安全-知识星球 福利来啦-优惠券活动 jadx+frida 查看apk是否加壳(apk未加壳) 搜索root检测特征、逻辑,其中Hook(如:Xposed、Frida等)检测的字符串特征类似,可以通过jadx、JEB3等反编译工具快速搜索定位到检测关键点 ​ Hook下面的方法(使用Xposed、Frida等进行Hook) com.google.firebase.crashlytics.internal.common.Co
内存检测方法
单个的人是软弱无力的,就像漂流的鲁滨孙一样,只有同别人在一起,他才能完成许多事业
04-05 1712
1.电路的制作工艺错误:在焊接电路的时候,可能会出现焊锡飞溅的情况,使得两个引脚短路,这样的后果是,当你对存储器进行操作的时候,就会数据重叠,甚至于说,出现无法读取的数据;焊接操作不当或者铜板刻制出错,出现开路的情况,可能会出现对存储器无法操作或者数据操作不成功的情况。 2.电路的电容性:假设使用的芯片频率足够快,你进行一个写操作,为了检验,你再进行一个读操作,那么问题来了,如果电容性,虽然你可能检测到的数据是你想要的,但是这时这个数据是由于读写操作太快,而来不及反翻转,那么这样的芯片实际上是不能存储..
应急响应篇-Windows 进程排查及服务排查
最新发布
cavathon的博客
03-17 714
DLL(动态链接库)是Windows系统中的一种共享库,与代码概念中的类有一定思维上的重合,大致用于代码重用,模块化设计,更新维护等功能。打开任务管理器,添加命令行和路径名称等进程页列,获得更多进程相关信息。可通过关注进程的路径名称和命令行是否可以判断。挖矿病毒允许时页伴随着CPU占用飙升的情况。来查找PID为900的进程及其对应的服务。tasklist还有过滤器的功能、使用。可以显示进程与服务的对应情况。可以查询调用指定DLL的进程。可显示进程与其加载的DLL。命令可查看所有进程信息。
SQLServer 维护脚本分享(05)内存Memory
12-25 2862
--查看设置的最大最小每次 exec sp_configure 'max server memory (MB)' exec sp_configure 'min server memory (MB)' --SqlServer目标内存、当前内存 、数据库内存页数 SELECT object_name,counter_name,cntr_value,cntr_value/1024/1024 AS [
记忆化搜索(Memory Search)
道阻且长,行则将至
02-25 3632
Question 输入n,符合要求的序列为:第一个数为n,第二个数不大于n,从第三个数起小于前两个数的差的绝对值,后面以此类推。求有多少种序列?(数据:n最大为1000) Sample input:4 / output:7 input:5 / output:14 input:6 / output:26 Hint n为4时有如下序列: 4 1 4 2 4 3 4 4 4 1 1 4 1 2 4 2 ...
基于内存搜索的隐藏进程检测技术
02-16
对现有的Windows下各种隐藏进程检测技术及其反检测技术进行了研究,提出了基于内存搜索的隐藏进程检测技术,并针对该技术的性能提出了改进。该种检测技术利用进程的固有特征对系统地址空间的遍历建立完整的进程列表来...
计算机病毒的检测方法.pptx
11-13
计算机病毒检测的原理基于以下几种方法: 1. 特性代码法:将所有病毒的病毒码加以剖析,并将这些病毒独有特性收集在一种病毒码资料库中,检测时,以扫描方式将待检测程序与病毒库中的病毒特性码进行一一对比,如果...
基于静态分析方法的Android应用内存泄漏检测模型.pdf
09-21
基于静态分析方法的Android应用内存泄漏检测模型 Android 应用程序的内存泄漏问题较为常见,主要是由于部分开发人员对 Android 内存管理机制理解模糊所致。为了解决内存泄漏的检测问题,首先需要分析 Android 系统...
论文研究-基于Xen虚拟化的隐藏进程检测方法.pdf
07-22
该系统部署在被监控虚拟机外部,自调整检测频率扫描计算机内存来获取进程相关信息,并通过与预先构建好的特征模板进行相似度匹配,达到检测隐藏进程的目的。实验结果表明,该检测系统可以有效地检测出典型的...
基于机器视觉的农田作物行检测
02-10
为了快速有效地提取作物行, 提出了基于机器视觉的农田作物行检测方法。图像预处理过程中, 用中心线检测算法代替垂直投影法获得作物行信息; 直线检测中提出了一种基于随机方法的新算法。该算法首先在由图像定位点构成...
Memory Search源码
03-04
一个内存搜索工具, 主要代码大约完成于2005-2006年, 用来注入指定进程中并搜索进程中指定值的地址, 可以用于游戏修改, 比如<>中搜索金钱数, 更改到自己所需要的值(但<>每次都搜索失败,原因尚不清楚). 源代码有C++版和混合masm版两种. 其中masm版的函数比C++版的快近一倍.具体使用请看打包的源代码.
金砖技能大赛-应急响应-内存镜像分析-进程分析
WEB渗透测试 从入门到萌新
09-30 4796
作为信息安全技术人员必须能够掌握内容镜像分析、重要数据恢复、 恶意文件分析等相关技能,利用这些技能我们能够第一时间分析相关恶意文件、 分析蛛丝马迹帮助我们更好的完成应急响应工作。 应急响应阶段题目主要包含:Windows 内存镜像分析,Linux 内存镜像分析, 磁盘文件恢复,恶意程序分析等内容。
安全搜索进程内存空间(一)
10-16 2040
 CMDHZ 本文发表在黑防2008的2期上,按照他们要求的间隔时间已经过了,所以贴上来。本文设计了用于演示的程序,一下子没有找到怎么发附件,所以需要的读者就向邮箱lisl03@gmail.com发 application mail吧。ShellCode的编写好像是一个永远说不完的话题。在11期《黑客防线》上我写了《再谈绕过卡巴斯基主动防御的ShellCode编写》的文章。
进程内存段机制
unclerunning的博客
05-13 4629
进程内存段机制 开始阅读之前可以先看看The Curse of Segments 1.x86的硬件段机制 wiki.osdev-Segmentation Modes of Memory Addressing on x86 1.1 段机制的引入 ​ 就在8086CPU出现之前,地址总线已经是16位(64KB)的了,在刚开始,段的引入是为了解决“地址总线的宽度大于寄存器的宽度”这
查看进程内存情况
weixin_34192993的博客
07-03 728
cat /proc/$(pgrep helloworld)/status | grep Vm    转载于:https://www.cnblogs.com/long123king/p/3765303.html
如何访问一个进程内存空间
ypyRock的专栏
09-27 2827
           如何访问一个进程内存空间    在WIN32中,每个应用程序都可“看见”4GB的线性地址空间,其中最开始的4MB和最后的2GB由操作系统保留,剩下不足2GB的空间用于应用程序私有空间。具体分配如下:0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统;0xBFFFFFFF-0x80000000的1GB用于共享的WIN32 DLL、存储器映射文件
2022年中职组网络安全国赛A模块题目解析
qq_57147160的博客
04-13 8806
2022年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (1) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A.基础设施设置与安全加固;B.网络安全事件响应、数字取证调查和应用安全;C.CTF夺旗-攻击;D.CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名.
node如何检测内存泄露
08-12
1. 基于内存使用情况的监控工具:Node.js 提供了内置的 `process.memoryUsage()` 方法,可以获取当前 Node.js 进程内存使用情况。可以在程序中定期调用该方法并记录下来,以便在后续分析中检测是否存在内存泄漏。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值