Windows 2003下的进程隐藏

最新推荐文章于 2024-07-07 08:40:16 发布
最新推荐文章于 2024-07-07 08:40:16 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: windows系统管理和安全 文章标签: windows dll null byte access token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/445661
版权

Windows 2003下的进程隐藏

    关于进程的隐藏,Windows 98下的例子数不胜数,Windows 2000下的隐藏方法,各个编程论坛中也介绍过,我也多次读过有关的文章,对朋友们的计算机水平及热心帮助朋友的作风十分敬佩。本文就算是对前辈文章的补充与深入介绍吧。

    在Windows 2003下“真正隐藏进程”这一说法是不大可能实现的,只要我们的程序是以进程内核的形式运行,都不可能逃离CTRL+ALT+DEL的法眼。那么奇怪了,这岂不是与我们的标题相矛盾吗?是的,实际上应该是:以非进程方式执行目标代码,而逃避进程查看器的检查,从而达到“进程隐藏”的目的。

    我们这里用的是在宿主进程中,以线程方式执行代码。实现起来非常简单。

首先,我们先建立一个不执行任何语句的线程:
DWORD stdcall ThreadProc(LPVOID *lpVoid){
    return 0;
}
然后将线程代码拷备至宿主进程所能够执行的任何地方(即页面属性为PAGGE_EXECUTE_READWRITE),如:共享内存影射区、宿主进程内。这里我们选择宿主进程,拷备的时侯,我们需要先在宿主进程中使用VirtualAllocEx函数申请一段内存,然后再使用WriteProcessMemory将线程体写入宿主进程中。
    
  以上工作完成后,我们便可用CreateRemoteThread函数激活并执行。下面给出一个完整的例子:
//远程线程执行体
DWORD __stdcall ThreadProc (void *lpPara){
  return 0;
}
int main(int argc, char* argv[]){
  const DWORD THREADSIZE=1024*4;//暂定线程体大小为4K,实际上没这么大,稍后我将会介绍
  DWORD byte_write;
  //获得指定进程ID句柄,并设其权限为PROCESS_ALL_ACCESS,992是宿进程的ID号,获取ID号的方法这里我就不多讲了
  HANDLE hWnd = ::OpenProcess (PROCESS_ALL_ACCESS,FALSE,992);
  if(!hWnd)return 0;
  void *pRemoteThread =::VirtualAllocEx(hWnd,0,THREADSIZE,MEM_COMMIT| MEM_RESERVE,PAGE_EXECUTE_READWRITE);//申请
  if(!pRemoteThread)return 0;
  if(!::WriteProcessMemory(hWnd,pRemoteThread,&ThreadProc,THREADSIZE,0))//写入进程
     return 0;
  //启动线程
  HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,NULL,0,&byte_write);
  if(!hThread){ //还有内存分配未释放
    return 0;
  }
  return 0;
}
    到这里,对于隐藏的方法就算告一段落,相信看过的朋友对这个思路有个非常明确的概念了吧?在理解隐藏的方法后,我们着重开始写线程的执行部分了。如下:
DWORD __stdcall ThreadProc(void *lpPara){
  MessageBox(NULL,"hello","hello",0);
  return 0;
}
    编译执行后,你会发现出现一个非法操作错误,为什么呢?在我们以段页式内存管理的Windows 2003操作系统中,编译时会把所有的常量编译在PE文件的.data节中,而代码段则在.text中,所以我们拷备到宿主进程中的代码是在.text中的代码,“MessageBox(NULL,(char *)指针,p,0);”所指向的地址是本进程的内存虚拟地址,而它在宿主进程中是无法访问的。

  解决的方法很简单,按旧照搬的将“hello”也拷备到目标进程中,然后再引用。同理,MessageBox函数地址编译时,也是保存在.Import中,写过Windows 2000下的病毒程序的朋友都知道,所有常量与函数入口地址都需在代码段定义与得出,我们这里也与它有点类似,同样情况我们也把函数的入口地址一起写入目标进程中:

//先定义参数结构
typedef struct _RemotePara{//参数结构
  char pMessageBox[12];
  DWORD dwMessageBox;
}RemotePara;
//付值
RemotePara myRemotePara;
::ZeroMemory(&myRemotePara,sizeof(RemotePara));
HINSTANCE hUser32 = ::LoadLibrary ("user32.dll");
myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA");
strcat(myRemotePara.pMessageBox,"hello");
//写进目标进程
RemotePara *pRemotePara =(RemotePara *) ::VirtualAllocEx (hWnd ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);//注意申请空间时的页面保护属性
if(!pRemotePara)return 0;
if(!::WriteProcessMemory (hWnd ,pRemotePara,&myRemotePara,sizeof myRemotePara,0))return 0;
//启动进将参数传递进入
HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,pRemotePara,0,&byte_write);
if(!hThread){
   return 0;
}

好了,就这么简单,下面再给出一个弹出一个MessageBox的实例:

//RemoteThread.cpp:
//Defines the entry point for the console application.
#include "stdafx.h"
typedef struct _RemotePara{//参数结构
   char pMessageBox[12];
   DWORD dwMessageBox;
}RemotePara;
//远程线程
DWORD __stdcall ThreadProc (RemotePara *lpPara){
   typedef int (__stdcall *MMessageBoxA)(HWND,LPCTSTR,LPCTSTR,DWORD);//定义MessageBox函数
   MMessageBoxA myMessageBoxA;
   myMessageBoxA =(MMessageBoxA) lpPara->dwMessageBox ;//得到函数入口地址
   myMessageBoxA(NULL,lpPara->pMessageBox ,lpPara->pMessageBox,0);//call
   return 0;
}
void EnableDebugPriv();//提升应用级调试权限

int main(int argc, char* argv[]){
   const DWORD THREADSIZE=1024*4;
   DWORD byte_write;
   EnableDebugPriv();//提升权限
   HANDLE hWnd = ::OpenProcess (PROCESS_ALL_ACCESS,FALSE,992);
   if(!hWnd)return 0;
   void *pRemoteThread =::VirtualAllocEx(hWnd,0,THREADSIZE,MEM_COMMIT| MEM_RESERVE,PAGE_EXECUTE_READWRITE);
   if(!pRemoteThread)return 0;
   if(!::WriteProcessMemory(hWnd,pRemoteThread,&ThreadProc,THREADSIZE,0))
   return 0;

   //再赋值
   RemotePara myRemotePara;
   ::ZeroMemory(&myRemotePara,sizeof(RemotePara));
   HINSTANCE hUser32 = ::LoadLibrary ("user32.dll");
   myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA");
   strcat(myRemotePara.pMessageBox,"hello");
   //写进目标进程
   RemotePara *pRemotePara =(RemotePara *) ::VirtualAllocEx (hWnd ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);//注意申请空间时的页面属性
   if(!pRemotePara)return 0;
   if(!::WriteProcessMemory (hWnd ,pRemotePara,&myRemotePara,sizeof myRemotePara,0))return 0;

   //启动线程
   HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,pRemotePara,0,&byte_write);
   if(!hThread){
      return 0;
   }
return 0;
}

//提升权限
void EnableDebugPriv( void )
{
HANDLE hToken;
LUID sedebugnameValue;
TOKEN_PRIVILEGES tkp;

if ( ! OpenProcessToken( GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken ) )
return;
if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, &sedebugnameValue ) ){
CloseHandle( hToken );
return;
}
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Luid = sedebugnameValue;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if ( ! AdjustTokenPrivileges( hToken, FALSE, &tkp, sizeof tkp, NULL, NULL ) )
CloseHandle( hToken );
}

    好了,程序编译执行后会在进程号为992的进程中创建一线程,弹出Hello对话框,很简单吧?

  这里有几个地方需要注意:

  1.远程线程在宿主进程中申请空间时,空间大小的确定是我一直无法解决的问题。我曾使用两个靠在一起的线程,以线程间的距离大小,并加上参数大小,作为申请空间时,仍然会出现非法操作,如下:
static void StartThread (LPVOID *lpPara){
   return ;
}
static void EndThread(LPVOID *lpPara){
  return;
}

  然后使用“DWORD dwLenght = (DWORD)((char *)&StartThread - (char *)&EndThread);”得到StartThread线程代码长度,再“dwLenght += sizeof(ThreadPara);”。不过这时候仍会出现非法操作,让我很迷惑。在Windows 2000中,线程的默认堆栈的页大小是4KB,这里我在为线程申请内存时,申请的大小暂时使用一个常数,始终为4KB的倍数,选取时尽量取大,在线程可成功运行后,再一点点改小。办法笨了点,朋友要是有更好的方法,请不吝赐教。

  2.什么时侯,什么参数是需要从外部传递进来的呢?我这里并没有一个十分有力的答案。我的理解是:PE文件中除了.text节以外的所有节,均需使用外部参数传递到线程中使用,如:.rsrc、.data、rdata等15个节。在我们实际编写的过程中,初学者并不知道我们的代码会编译在什么地方,这个时侯,我们可以在运行的时侯ALT + 8(VC中快捷键)反编译过来,一般有“lea eax p、push offset p”等取地址语句,大都需要将参数传递进来。所以,大家在编写的时侯,一定要注意参数,因为线程的执行是在别的进程中,一个普通权限的应用程序是无法跨越进程来调试其它进程的,包括VC也无法调试我们的远程线程。熟悉汇编的朋友,可用softice调试,这需要一定的基本功。
  
  3.权限,这一点很重要,其它的文章中在这方面也介绍得很清楚了,网上相关的文章也很多,我就不多说了。文中的EnableDebugPriv函数可使本进程在Internet、WinLogin、Lsass等进程中创建线程。Windows 2000的进程查看器无法将其杀除。

  4.进程ID获得的方法较多,如:EnumProcesses、CreateToolhelp32Snapshot/Process32First/Process32Next、NtQuerySystemInformation等函数均可,为减少代码,例子中的进程ID是直接在进程查看器中得到的。

  这时侯我们应该已经非常清楚这个方法中为何会多出一个DLL文件了:远程线程的线程体本身就是LoadLibrary函数,即线程的入口地址就是LoadLibrary的入口地址,这是系统Kernel32.dll中的函数,任何进程都可调用。线程中使用LoadLibrary函数将我们的DLL加载到系统空间内,线程一执行,我们的DLL就开始工作了。线程执行结束后,别忘了使用VirtualFreeEx将其申请的内存区释放。

  两种方法一比较,很明显第一种方法在使用DLL时,创建十分简单,也不需要太多的操作系统与内存操作知识,并可直接调试DLL文件。实现起来比较简单;直接拷备到进程中的方法稍为复杂一点,一不小心,很容易出现非法操作。当然,也去掉那了个让人讨厌DLL文件。程序执行后,很难找到它的来源地,是除了病毒以外的木马隐藏的首选方法。

  写到这里,我们就可以理解2003中进程隐藏的方法,其实本文只是给大家的一个指引,这篇文章也早就写好了,考虑许久,终于还是决定拿出来献丑一下,文章内尽量使用最简洁易懂的词汇及例子来介绍,希望能够对每一位初学的读者与进阶者有所帮助。

 

iiprogram
关注
专栏目录
隐藏windows进程
04-21
隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程
Windows下的进程隐藏
weixin_30416497的博客
11-08 912
Windows下的进程隐藏 9X环境中Windows提供了想光的API函数用于隐藏系统进程。但是到了2000以上系统,已经无法真正的做到对于进程隐藏,除非编写底层驱动。但是我们可以通过一些变通的办法来达到隐藏进程的目的,其中一个就是远程注入。简单的说就是先编写一个API的DLL,然后将这个DLL库注入到一个系统进程中,作为它的一个线程去执行。...
浅谈进程隐藏技术
最新发布
蚁景网安学院
07-07 915
在之前几篇文章已经学习了解了几种钩取的方法,这篇文章就利用钩取方式完成进程隐藏的效果。在实现进程隐藏时,首先需要明确遍历进程的方法。
Win XP下用远程线程注入来隐藏进程
zhaoyu_me的专栏
08-26 1013
procedure FindAProcess(const AFilename: string; const PathMatch: Boolean; var ProcessID: DWORD);var  lppe: TProcessEntry32;  SsHandle: Thandle;  FoundAProc, FoundOK: boolean;begin  ProcessID :=0;  SsH
windows进程隐藏工具
09-08
进程隐藏工具是简单小巧的软件,可以隐藏任务栏、进程,一键隐藏你想隐藏的程序。如果你上班、上课期间偷偷看电影、玩游戏又害怕被发现,可以下载一款进程隐藏工具,一键就能隐藏你开着的进程
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
weixin_44891742的博客
07-26 6389
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
windows如何隐藏进程 隐藏进程4种方法
05-15
隐藏进程4种方法
python在windows下创建隐藏窗口子进程的方法
09-21
### Python在Windows下创建隐藏窗口子进程的方法 在进行跨平台编程时,特别是在Windows操作系统上进行开发时,我们经常会遇到需要创建子进程的情况。而有时为了不影响用户体验或满足某些特定需求,我们需要创建一个...
编程技术_Windows 内核级进程隐藏侦测技术-综合文档
05-19
Windows操作系统中,内核级进程隐藏侦测技术是一种高级的计算机安全技术,它涉及到操作系统的核心层,主要用于检测和防止恶意软件通过隐藏进程来规避安全软件的检测。本技术主要针对那些试图通过修改系统内核行为...
windows xp隐藏进程 源代码.rootkit技术
01-24
3. "用户态隐藏进程的通用版本 无驱动sys 在ring3中执行Ring0代码":这可能是一个源代码文件,展示了如何在不编写内核驱动(sys文件)的情况下,在Ring3中执行Ring0级别的代码,从而实现进程隐藏。这种技术避免了...
利用Windows进程隐藏进行权限维持
A_991128a的博客
05-13 819
作者:brodyproder。
隐藏进程windows
02-05
实列,可用于入门学习,也可以做为工程代码的部分。
HideToolz(隐藏进程的工具,可用于隐藏调试器进程..)
10-30
HideToolz --------------------------- HideToolz (ultimate crackers tools hider) ------------- HideToolz is intended for hiding crackers tools from different protection trying define their presence. 1) Hiding processes from all possible ring3 methods of the finding. 2) Hiding windows from enumeration and searching for on the known name. 3) Protection processes from opening on the known pid (as well as from indirect methods of the opening). 4) Parental process emulation (for all visible processes runned from hidden, will be emulated parental process explorer.exe) 5) Protection from rebooting windows (and log all rebooting attempts). 6) Protection from formatting the disk (and log all formatting attempts). Attention: access of the hidden processes unrestricted, and they can see the real system state. For impossibility of the finding HideToolz file on disk, is recommended rename file and pack its any packer. 经常用来隐藏OllyIce进程来实现反反调试
隐藏进程查看器
08-30
一个Windows隐藏进程查看工具,可以方便的查看被隐藏进程
隐藏进程小工具
01-13
隐藏进程,适用于win7,xp.主要用于自己进程不被别程序探测到.
开机启动的隐藏进程程序
06-12
通过exe文件,将dll进程远程注入到explorer.exe进程中。通过修改注册表达到开机启动。
windows内核模式下隐藏进程
sky的专栏
12-19 4475
进程隐藏之内核实现 1、在内核模式下,系统为每个进程维护了一个EPROCESS结构体,系统所有的进程是通过EPROCESS结构体中的一个ActiveProcessLinks指向的双端链表连接起来的,通过winDBG内核调试工具就可以发现并获取其相对于EPROCESS结构体的地址(0x88),这样我们可以通过遍历该循环链表找到我们的目的进程将其链表的节点删除即可隐藏进程。(EPROCESS中进程
Windows下四种隐藏进程技巧详解
"这篇文章主要介绍了在Windows操作系统中隐藏进程的四种方法,包括DLL注入、API Hook、利用NT内核函数以及RootKit技术。这些方法通常需要一定的编程知识和技巧来实现,适用于高级用户或开发者。" 在Windows系统中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值