通过进程链枚举进程_asm

最新推荐文章于 2021-05-08 17:10:50 发布
最新推荐文章于 2021-05-08 17:10:50 发布
阅读量1.2k 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: object constants null windows string date
 程序用内核驱动的方式进入ring0,然后访问EPROCESS结构,在EPROCESS结构中找到进程链,从而可实现进程的枚举,但是由于PID 为0的系统进程Idle并没有在这个链上.所以通过这种方法自然也就找不出它来.程序输出可以用softice或DebugView工具查看. 本程序只在XP下调试通过.
        ****************************************************************************************************
Author:dge/D哥
Date  :2006.5.1
****************************************************************************************************

;@echo off
;goto make
;***************************************************************************************************

.386
.model flat, stdcall
option casemap:none
;***************************************************************************************************
;                                 I N C L U D E   F I L E S                                        
;***************************************************************************************************
include d:/masm32/include/w2k/ntstatus.inc
include d:/masm32/include/w2k/ntddk.inc
include d:/masm32/include/w2k/ntoskrnl.inc
include d:/masm32/include/w2k/w2kundoc.inc
includelib d:/masm32/lib/w2k/ntoskrnl.lib
include d:/masm32/Macros/Strings.mac

_DriverUnload proto :PDRIVER_OBJECT
_DispatchControl proto :PDEVICE_OBJECT,:PIRP
_DispatchControlIo proto :PDEVICE_OBJECT,:PIRP

;***************************************************************************************************
;                                 C O N S T A N T S                                             
;***************************************************************************************************

.const
CCOUNTED_UNICODE_STRING "//Device//devEnum", g_usDeviceName, 4
CCOUNTED_UNICODE_STRING "//??//slEnum", g_usSymbolicLinkName, 4    
             
;***************************************************************************************************
;                                 N O N D I S C A R D A B L E   C O D E                                  
;***************************************************************************************************

.code

DriverEntry proc uses ebx edi esi, pDriverObject:PDRIVER_OBJECT, pusRegistryPath:PUNICODE_STRING
 local status:NTSTATUS
 local pDeviceObject:PDEVICE_OBJECT
 local   dwId,lpEprocess
        local   ListOffset,NameOffset
 local   Version
           
       ;int 3
       ;invoke DbgPrint,$CTA0("/n/nEntry  DriverEntry/n/n")
 mov status,STATUS_DEVICE_CONFIGURATION_ERROR

 invoke IoCreateDevice,pDriverObject,0,addr g_usDeviceName,FILE_DEVICE_UNKNOWN,0,FALSE,addr pDeviceObject
 .if     eax==STATUS_SUCCESS
  invoke IoCreateSymbolicLink,addr g_usSymbolicLinkName,addr g_usDeviceName
  .if     eax ==  STATUS_SUCCESS
   mov eax,pDriverObject
   assume eax:ptr DRIVER_OBJECT
   mov [eax].DriverUnload,      offset _DriverUnload
   mov [eax].MajorFunction[IRP_MJ_Create*(sizeof PVOID)],  offset _DispatchControlIo
   mov [eax].MajorFunction[IRP_MJ_CLOSE*(sizeof PVOID)],  offset _DispatchControlIo
   mov [eax].MajorFunction[IRP_MJ_DEVICE_CONTROL*(sizeof PVOID)], offset _DispatchControlIo
   assume eax:nothing
   invoke  PsGetVersion,NULL,addr Version,NULL,NULL       ;获得得系统版本
                        mov     eax,Version
   cmp     eax,0
   jne     @f
   mov     ListOffset,0A0h
   mov     NameOffset,1fch
                        jmp     QQ
                @@:     cmp     eax,1
                 jne     exit
   mov     ListOffset,88h
   mov     NameOffset,174h
                QQ:     invoke  PsGetCurrentProcessId
   mov     dwId,eax
   invoke  PsLookupProcessByProcessId,dwId,addr lpEprocess
   mov     esi,lpEprocess
   add     esi,ListOffset
   mov     edi,esi
                        assume  edi:PLIST_ENTRY
   assume  esi:PLIST_ENTRY
   invoke DbgPrint,$CTA0("/n/n************Enumerate Process  Start   ***********/n/n")
                @@:     mov     edx,[esi].Flink                    
                        cmp     edx,edi                                        ;比较是否为最后一个EPROCESS
   je      @F
   assume  esi:nothing
   sub     esi,ListOffset
   add     esi,NameOffset
   invoke DbgPrint,$CTA0("%s/n"),esi
   sub     esi,NameOffset                                 ;恢复EPROCESS指针  
   add     esi,ListOffset                  
   assume  esi:PLIST_ENTRY 
   mov     esi,[esi].Flink
   jmp     @B
                @@:     invoke DbgPrint,$CTA0("/n/n************Enumerate Process Complete ***********/n/n")
                 assume  esi:nothing
   assume  edi:nothing                 
   mov     status,STATUS_SUCCESS
  .else
   invoke IoDeleteDevice, pDeviceObject
  .endif
 .endif
 mov     eax,status
 ret
exit:   mov     eax,STATUS_DEVICE_CONFIGURATION_ERROR
        ret
DriverEntry endp

;***************************************************************************************************
;                                 DispatchControlIo                                            
;***************************************************************************************************

_DispatchControlIo proc pDeviceObject:PDEVICE_OBJECT, pIrp:PIRP
                                                                               
       ;int 3
       ;invoke DbgPrint,$CTA0("/n/nEntry  DispatchCreateClose  /n/n")

 mov     eax,pIrp
 assume  eax:ptr _IRP
 mov     [eax].IoStatus.Status,STATUS_SUCCESS
 and     [eax].IoStatus.Information,0
 assume  eax:nothing

 invoke IoCompleteRequest,pIrp,IO_NO_INCREMENT

 mov eax, STATUS_SUCCESS
 ret

_DispatchControlIo endp

;***************************************************************************************************
;                                 DriverUnload                                           
;***************************************************************************************************

_DriverUnload proc pDriverObject:PDRIVER_OBJECT

       ;int 3
       ;invoke DbgPrint,$CTA0("/n/nEntry DriverUnload/n/n")
 
 invoke IoDeleteSymbolicLink,addr g_usSymbolicLinkName                 ;清除符号连接
 mov eax, pDriverObject                                             ;删除在初始化创建的设备
 invoke IoDeleteDevice,(DRIVER_OBJECT PTR [eax]).DeviceObject
 ret

_DriverUnload endp

;***************************************************************************************************
;                                 E N D                                           
;***************************************************************************************************
              
end DriverEntry

;***************************************************************************************************

:make

set path=%path%;d:/masm32/bin
set drv=enum

ml /nologo /c /coff %drv%.bat
link /nologo /driver /base:0x10000 /align:32 /out:%drv%.sys /subsystem:native %drv%.obj
del %drv%.obj
echo.
pause




参考资料:

(1).一块三毛钱--监视远程线程的创建.  http://www.zhongts.net/MyEssay/ThreadMonitor.htm                                                                      

(2)ZwelL--对windows内核操作的一些说明.  https://www.xfocus.net/bbs/index.php?act=SE&f=3&t=47208&p=192941

(3) KmdTut 中文翻译. http://asm.yeah.net

(4)Undocumented Windows NT 
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
枚举系统中所有进程,及他们的所有网络连接
12-23
枚举系统中所有进程,及他们的所有网络连接
内核下枚举进程(一)进程活动
10-08 198
今天学会了一种在内核下枚举进程的方法,写下来与大家共享。用到了的是EPROCESS 结构,EPROCESS 是一个关于进程的结构,此结构很庞大,包括的内容非常丰富.由于此结构未文档化所以用windbg来查看输入dt _eprocess命令查看该结构如下: ntdll!_EPROCESS +0x000 Pcb : _KPROCESS //进程控制...
WIN API-VFP枚举网络连接
apple_8180(十豆三) 的专栏
03-20 4207
*--首先感谢网友dkfdtf对GetTcpTable方法的编写,才使我轻意的写成了GetExtendedTcpTable*--API-GetTcpTable:结果含有远程地址为空的记录,但不含有PID(进程ID) Clear#Define ERROR_INSUFFICIENT_BUFFER 122Declare Long GetTcpTable In Iphlpapi String @pTc
ring0 暴力枚举进程
aijuzhou1959的博客
08-25 179
原理:遍历进程ID,然后openprocess,能打开的都枚举出来 ring0 : #include "EnumProcessByForce.h" extern char* PsGetProcessImageFileName(PEPROCESS EProcess); extern POBJECT_TYPE* PsProcessType; NTSTATUS ...
<转>内核层 进程列举 NtQuerySystemInformation
weixin_33721344的博客
11-29 136
/*--------- 1.c -----------*/ #include "1.h"   //---------列举进程---------   NTSTATUS EnumProcess()   {   int iCount = 1;    //进程计数   NTSTATUS status;   //返回值   PVOID pSi = NULL; /*指向SystemInformationCla...
枚举进程ASM实现)
03-22
总结来说,通过Win ASM32实现进程枚举涉及对Windows API的熟练应用,包括理解函数原型、参数传递、返回值处理以及系统调用的调用约定。这个过程需要深厚的汇编语言基础以及对Windows系统编程的理解。通过实践这样的...
易语言跨进程取窗口过程
07-22
易语言跨进程取窗口过程源码,跨进程取窗口过程,窗口枚举过程,asm_SetPid,asm2_hf,EnumDesktopWindows,GetParent,IsWindowUnicode,GetWindowTextA,GetWindowThreadProcessId,GetWindowLongW,GetWindowLongA
枚举全局钩子_如何列出当前windows中所有的钩子hook
01-28
在提供的压缩包文件中,`EnumHook.Asm`可能是汇编语言实现的枚举钩子的源代码,`EnumHook.exe`是编译后的可执行文件,`common.inc`可能包含了一些通用的宏定义和常量,`EnumHook.rap`、`EnumHook.Rc`与资源文件相关...
iop_sw_mpu_defs_asm.rar_H.R.H.
09-23
标题 "iop_sw_mpu_defs_asm.rar_H.R.H." 暗示了这是一个与IOP(Input/Output Processor)软件内存保护单元(MPU - Memory Protection Unit)相关的资源,其中包含了汇编语言(asm)定义的头文件。描述中提到的 ...
用Delphi内嵌汇编实现缷载任意进程的某个DLL.zip
09-21
这可以通过枚举进程的模块列表(使用`EnumProcessModules`和`GetModuleBaseName`函数)来实现。 3. **内嵌汇编实现**:在Delphi中,我们可以使用`asm`关键字来插入汇编代码。卸载DLL的关键步骤是执行`FreeLibrary` ...
枚举网络连接
Hacktt的专栏
03-15 693
枚举网络连接 Private Const RAS_MaxDeviceType = 16 Private Const RAS95_MaxDeviceName = 128 Private Const RAS95_MaxEntryName = 256 Private Type RASCONN95
【转】枚举进程:ring3->ring0
依然静谧的专栏
08-15 1007
用google搜索了几天相关内容的资料,将所提到的逐一实现。哎,不禁感叹自己太菜了。居然用了几天的时间。没啥新思想、内容,只是总结,当然还有其他方法没总结到。但经常提到的ring3下的快照、psapi的EnumProcesses、暴力OpenProcess;ring0下的ZwQuerySystemInformation、activprocess、暴力搜索内存、PspCidTable、Csrss进
无用的,ring0暴力枚举进程模块
kedebug
12-22 1251
<br />////////////////////////////////////////////////////////////////////////// VOID ListModuleThread(PVOID Context) { NTSTATUS ntStatus = STATUS_UNSUCCESSFUL; ULONG StepAddress; ULONG Step2Address; ULONG BufferSize = 0x200; U
内核态进程管理器Intercessor和实现细节
jingzu的专栏
11-27 2127
 标 题: 【原创】内核态进程管理器Intercessor和实现细节 作 者: greatcsk 时 间: 2007-09-05,20:20 接: http://bbs.pediy.com/showthread.php?t=51157 BLOG原文:http://www.csksoft.net/blog/post/Intercessor_taskmgr.html 相关文件: 已经修
用户态枚举进程的几种方法
jingzhongrong
02-13 2052
最近在准备一个进程查看(当然不只进程查看功能了)的工具,总结了在用户态下查找进程的几种方法。当然,如果想要真正做到进程查看,还是要进入核心态中,因为在用户态是查不到什么东西的,但是可以用来和核心态结果进行比较找出隐藏进程。(内核级病毒、木马在Ring0中可以很容易的做到隐藏而是用户态程序检测不到)。//write by jingzhongrong1、利用ToolHelp API
利用bat判断某bat进程是否存在并做处理
iteye_612的博客
08-03 3445
用到三个文件:start.bat;check_start.bat;sleep.vbs in check_start.bat: [code="bat"] @echo off :check :: 判断当前用户本机下进程标题为“aaabbbccc”的进程是否存在 tasklist /V /S localhost /U %username% >temp_process_list...
windows 驱动实现进程枚举
全栈胖叔叔
05-08 958
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
利用ZwQuerySystemInformation和paspi枚举进程
Makers
12-23 1075
#include #include #include typedef DWORD (WINAPI *ZWQUERYSYSTEMINFORMATION)(DWORD,PVOID,DWORD,PDWORD); typedef struct _SYSTEM_PROCESS_INFORMATION{ DWORD NextEntryDelta; DWORD ThreadCount;
#define __asm__ asm
最新发布
06-02
`__asm__`是GCC中的扩展,用于嵌入汇编代码。`__asm__`关键字用于告诉编译器后面的代码是汇编代码而不是C语言代码。如果使用`__asm__`关键字,则需要遵循所使用的编译器的语法要求。 下面是一个使用`__asm__`的示例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值